thái

30 đến 30

2013-05-08T22:40:00.001-07:00

30 việc tôi muốn làm trước khi 30 tuổi:

1. đi road trip xuyên Mỹ

2. cắm trại bên hồ

3. viết một truyện ngắn

4. bụng sáu múi

5. chạy 5 km không nghỉ

6. đọc hết những cuốn sách đã mua

7. viết mã cho Linux

8. trồng một cây ăn trái và ăn trái của nó

9. tập bơi sải

10. đi lặn biển

11. mở một thư viện miễn phí

12. tự làm và ăn sashimi

13. quay lại Argentina, ăn thịt bò và uống rượu vang

14. viết một bức thư tình

15. không cau có với trùm cuối

16. dẫn ba mẹ đi chơi ở Mỹ

17. ngủ trên thuyền

18. ăn chay một tháng

19. tìm một lỗ hổng trong một trình duyệt và viết mã khai thác cho nó

20. ghi bàn và thắng một trận đá banh

21. viết xong những paper dang dở

22. trở thành committer cho Chromium

23. mine một bitcoin

24. học một lớp vật lý trên Coursera

26. ngủ trong một vườn trái cây

27. trượt tuyết vèo vèo

28. đi làm lúc 7h sáng, về nhà lúc 3h chiều

29. dịch ngược một phần mềm phức tạp nào đó

30. ăn ít cơm

Tự đốt đuốc mà đi

2013-05-01T00:30:00.000-07:00

(Mượn lời tựa một bài viết của anh Giáp Văn Dương)

Trong một bài viết trên blog này tôi có nói hối tiếc lớn thứ nhì trong "sự nghiệp" học tập của tôi là đã không tốt nghiệp đại học và hối tiếc lớn nhất là tôi đã không nghỉ hẳn việc học đại học. Hôm nay tôi muốn nói một chút về suy nghĩ này, nhân dịp đọc bài đã dẫn của anh Dương cũng như bài của một bạn sinh viên về việc mất định hướng trên Tuổi Trẻ Cuối Tuần.

Tôi học đại học rất tệ. Thời gian đến trường đến lớp của tôi rất ít. Chủ yếu tôi chỉ học khi còn một vài ngày nữa là thi. Tôi thường hay nói là vì tôi bận đi làm, nhưng thật ra nếu cố gắng, tôi nghĩ tôi cũng sẽ có thể vừa học vừa làm. Chủ yếu vì tôi làm biếng. Kết quả là sau hơn 5 năm ngoài việc nợ một vài môn chuyên ngành, tôi còn nợ một môn cần thiết để làm luận văn. Tôi quyết định nghỉ, chứ không đi học lại những môn đó nữa.

Tôi chọn học ngành công nghệ thông tin vì tôi cảm thấy tôi thích ngành này. Đây cũng là một ngành thời thượng lúc bấy giờ. Ở thời điểm bắt đầu học đại học thì mục tiêu của tôi rất rõ ràng: tốt nghiệp đại học rồi đi làm kỹ sư an toàn thông tin. Điều buồn cười là lúc đó tôi không biết làm an toàn thông tin là làm gì. Tôi nghĩ đây cũng là tình trạng chung của nhiều bạn bè của tôi. Đa số chúng tôi chọn ngành học vì một sở thích mơ hồ, rồi cố theo đuổi mà dần dà trở thành một sở thích thật sự, hoặc là vỡ mộng rồi lụi tàn.

Trong suốt quá trình học đại học, những gì trường đại học cung cấp cho tôi cũ kỹ và có vẻ như rất thiếu thực tế so với những gì mà tôi thấy trong quá trình làm việc bên ngoài. Làm sao mà tôi thích đi học khi mà những hệ thống mà tôi xây dựng và quản trị ở công ty đang sử dụng những công nghệ tiên tiến nhất lúc bấy giờ, trong khi trường lại dạy những kiến thức tưởng chừng như chẳng ăn nhập vào đâu.

Bây giờ nhìn lại thì tôi thấy nội dung và cách dạy của từng môn học thì đúng là lạc hậu, nhưng toàn bộ giáo trình đại học mà tôi học vẫn cung cấp được một cái sườn kiến thức rất cần thiết cho một kỹ sư công nghệ thông tin. Dựa trên cái sườn này, nếu biết cách tự học thì cũng sẽ thu được một lượng kiến thức đáng kể. Nhưng lúc là sinh viên, thiếu cái nhìn toàn cảnh, thiếu kinh nghiệm, tôi không có cách nào hiểu được như vậy.

Tôi chẳng đổ thừa trường mà tôi học hay các thầy cô. Tôi có nguyên tắc: cái gì tôi làm không được là lỗi của tôi! Cũng có nhiều bạn học như tôi và vẫn học tốt. Dẫu vậy tôi nghĩ điều mà tôi không hài lòng, để rồi dẫn tới việc chán học, là đại học đã không như tôi kỳ vọng. Tôi nghĩ đây cũng không phải là suy nghĩ của cá nhân tôi. Nhiều bạn sinh viên mới vào đại học cũng thường đặt ra những kỳ vọng cao đẹp về đại học.

Bây giờ nhìn lại thì tôi thấy mình ngây thơ quá. Đó là lỗi của tôi. Thử hỏi xem thời nay có ai điên khùng đi kỳ vọng vào chất lượng của một đơn vị do nhà nước quản lý? Có bao giờ bạn đi làm giấy tờ, đi khám bệnh viên công, hay đơn giản như là chạy xe ngoài đường v.v. mà bạn cảm thấy mình được phục vụ một cách chu đáo, hay là đường xá chất lượng tốt, thông thoáng, an toàn đúng như bạn mong muốn?

Các trường đại học, kể cả trường được xem là tốt như trường mà tôi đã học, thật sự chẳng có bất kỳ động lực gì để đáp ứng kỳ vọng của sinh viên cả (nhìn rộng ra thì không chỉ trường đại học mà cả thể chế xã hội hiện tại ở Việt Nam chẳng có bất kỳ động lực gì để mà đáp ứng kỳ vọng của mỗi cá nhân cả, nhưng chuyện này nói sau). Thậm chí nói không ngoa, các trường cũng không có động lực để nâng cao chất lượng giảng dạy. Người muốn làm sinh viên thì nhiều, mà trường đại học thì ít, thành ra cầu bao giờ cũng nhiều hơn cung. Nếu trường có tiếng một chút, thì khỏi phải lo đầu vào. Sinh viên vào trường rồi thì ít khi chuyển đi chỗ khác. Bọn sinh viên cũng toàn lũ ngây dại, có dạy dở thì chúng cũng chỉ có hai cách: bỏ học hoặc cắn răng mà học cho xong, cấm có phàn nàn.

Trường được xem là tốt chủ yếu là do hai lý do: sinh viên đầu vào tốt và những nỗ lực cá nhân của một số thầy cô. Vai trò của người thầy cực kỳ quan trọng. Thầy tốt sẽ làm thay đổi khoa, khoa tốt làm thay đổi cả trường. Làm thế nào để có thầy giỏi? Lương bổng là một vấn đề lớn, một con voi trong phòng của giáo dục Việt Nam, thành ra chỉ còn có thể kỳ vọng vào những người thật sự yêu thích việc dạy học và có kiến thức ở mức chuyên gia về lĩnh vực mà họ muốn dạy. Nhưng tiếc thay tôi nghĩ những người như vậy chỉ là thiểu số.

Phần đông giảng viên đại học mà tôi được học rơi vào hai nhóm. Nhóm những thầy cô đã lớn tuổi và họ dạy đi dạy lại một hai môn trong suốt nhiều năm liền mà không có bất kỳ cải tiến gì về giáo trình. Rất ít người là chuyên gia nghiên cứu trong lĩnh vực mà họ giảng dạy và xem tiểu sử của họ thì không có ai đã hoặc đang làm việc gì khác ngoài việc giảng dạy. Nhóm thứ hai là sinh viên mới ra trường, được giữ lại trường rồi đi dạy. Những người này có thật sự thích việc dạy học hay không đã là một dấu hỏi lớn (vì đa số ở lại trường vì muốn đi du học), nhưng rõ ràng trình độ của họ không đủ để dạy đại học, mặc dù có thể họ năng động hơn nhóm thứ nhất.

Như vậy chỉ còn hi vọng vào sinh viên đầu vào, nghĩa là sinh viên phải dựa vào chính mình. Phải tự đốt đuốc mà đi.

Xã hội chỉ phát triển khi mà những người đi trước vẫn trồng cây mặc dù họ biết là họ sẽ không bao giờ được hưởng bóng mát của chúng. Hãy nhìn vào xã hội của chúng ta và hãy hiểu rằng chuyện đó là cổ tích, ít nhất là trong những năm hiện tại. Có phải đã có ông nghị sĩ từng tuyên bố: cứ mượn nợ, con cháu sẽ trả! Khi chúng ta hiểu được rằng chẳng thể kỳ vọng gì vào nhà trường và xã hội thì việc tự mình phải vươn lên, phải tự cứu lấy mình, phải tự bảo vệ mình sẽ trở thành chuyện hiển nhiên, không cần phải suy nghĩ.

Phải dậy, phải đốt đuốt, phải đi thôi. Ngay bây giờ! Người ta đã đi xa và đang đi nhanh lắm rồi.

--

Đuốt thì đốt rồi, nhưng... đi đường nào bây giờ? Bài dài rồi, mai nói tiếp :-).

Ăn khế trả bug

2013-04-14T22:52:00.000-07:00

glass mới

2013-04-12T20:27:00.001-07:00

"Không quản lý được an ninh"

2013-04-09T23:54:00.003-07:00

Trích từ đây:

[...]ông Vương Quang Khải, Phó Tổng Giám đốc Công ty VNG cũng cho rằng, các dịch vụ trong nước của VNG như Zing Mail, Zing Me... tuân theo rất nhiều chế tài của cơ quan quản lý trong khi các dịch vụ tương tự của nước ngoài như Yahoo Mail, Gmail, Facebook... thì không gặp phải bất cứ chế tài quản lý nào cả. Từ đó dẫn đến việc người dùng sẽ thích và sử dụng các dịch vụ nước ngoài vì không bị quản lý. VNG hi vọng thời gian tới sẽ có quy định để các doanh nghiệp trong và ngoài nước cùng “chơi” theo một luật để giúp CNTT Việt Nam phát triển. “Nếu cơ quan quản lý tiếp tục quản lý doanh nghiệp nội và ngoại như trên môi trường web thì VNG lo ngại chúng ta sẽ lại thua tiếp một lần nữa trên thị trường di động (mobile), giống như với thị trường mạng xã hội, máy tìm kiếm, email... dẫn đến thất thu về thuế và không quản lý được về an ninh”, ông Khải nhấn mạnh.

Quản lý an ninh là làm gì? Khoản 4, Điều 55 của Dự thảo nghị định quản lý Internet có quy định trách nhiệm của những công ty VNG như thế này (tôi in đậm những chỗ bên dưới, văn bản góc không có):

Điều 55. Trách nhiệm bảo đảm an ninh quốc gia, trật tự an toàn xã hội và phòng chống tội phạm trên mạng

4. Trách nhiệm của doanh nghiệp cung cấp dịch vụ Internet, viễn thông và nội dung thông tin trên mạng.

a. Triển khai các giải pháp, trang thiết bị kỹ thuật theo quy định của Bộ Công an để lưu trữ thông tin đưa vào, truyền đi trên mạng; ngăn chặn việc truy cập, truyền đưa thông tin có nội dung vi phạm Điều 5 của Nghị định này.

b. Xây dựng, ban hành quy định vận hành, khai thác, sử dụng dịch vụ Internet và nội dung thông tin trên mạng, Tổ chức việc đăng ký, quản lý và sử dụng thông tin cá nhân trên mạng theo quy định của Bộ Công an. Tuyên truyền, hướng dẫn, kiểm tra việc thực hiện đối với các đại lý Internet, người sử dụng dịch vụ, cán bộ, nhân viên trong nội bộ doanh nghiệp.

c. Cung cấp thông tin, phối hợp với đơn vị chức năng của Bộ Công an, các cơ quan Nhà nước có thẩm quyền thực hiện việc quản lý, kiểm tra, giám sát, phát hiện, ngăn chặn và xử lý các hành vi lợi dụng Internet, nội dung thông tin trên mạng vào hoạt động xâm phạm an ninh quốc gia và trật tự an toàn xã hội.

d. Ngừng ngay việc cung cấp dịch vụ Internet và thông tin trên mạng đối với các chủ thể lợi dụng các dịch vụ này để hoạt động chống lại Nhà nước Cộng hoà Xã hội chủ nghĩa Việt Nam, gây phương hại đến an ninh quốc gia khi có yêu cầu của cơ quan quản lý nhà nước có thẩm quyền.

e. Bố trí mặt bằng, điểm truy nhập mạng, các cổng kết nối, giao diện kết nối tại các điểm kết nối Internet quan trọng và những điều kiện kỹ thuật cần thiết cho các đơn vị chức năng thuộc Bộ Công an thực hiện nhiệm vụ bảo vệ an ninh quốc gia trong hoạt động Internet.

g. Phối hợp với cơ quan chức năng của Bộ Công an triển khai các biện pháp bảo đảm an ninh quốc gia, trật tự an toàn xã hội và phòng chống tội phạm trên mạng trước khi chính thức cung cấp dịch vụ. Thực hiện chế độ báo cáo đột xuất, định kỳ, cung cấp các thông tin cần thiết theo quy định của Bộ Công an.

h. Chịu trách nhiệm hướng dẫn đại lý Internet, điểm cung cấp dịch vụ trò chơi trực tuyến công cộng của doanh nghiệp thực hiện các quy định về bảo đảm an ninh quốc gia, trật tự an toàn xã hội và phòng chống tội phạm trên mạng của Bộ Công an trong hoạt động Internet và nội dung thông tin trên mạng.

i. Chịu sự thanh tra, kiểm tra việc chấp hành các quy định của pháp luật về bảo đảm an ninh quốc gia, trật tự an toàn xã hội và phòng chống tội phạm trên mạng của cơ quan quản lý nhà nước có thẩm quyền.

Như vậy VNG có đáng tin để chúng ta trao gửi thông tin cá nhân không? Câu trả lời của cá nhân tôi là không. Thật ra không chỉ riêng VNG mà tất cả các công ty Việt Nam đều phải thực hiện các điểm đã dẫn ở trên. Dẫu vậy tôi thất vọng khi VNG dùng lá bài "quản lý an ninh" để vận động chính quyền đưa ra chính sách có lợi cho họ.

Từ chỗ bị ép buộc, VNG bây giờ đã sỗ sàng gợi ý. Đây là một bước đi rất dài, chỉ tiếc là đi thụt lùi. Bao giờ thì ra được thế giới?

Phim hay nhất mọi thời đại

2013-04-03T21:56:00.001-07:00

(theo tui!)

1. Lock, Stock and Two Smoking Barrels

2. Snatch

3. 12 Angry Men

4. The Usual Suspects

5. The Prestige

Chôm chôm

2013-04-01T21:22:00.002-07:00

Chôm chôm sáng nay ở chỗ làm. Tự dưng nhớ mùa hè 1990. Sướng!!!

Những toilet không cửa hay là tại sao phải biết thiết kế

2013-03-15T00:07:00.003-07:00

Tôi rất thích đoạn phim này. Có lẽ là do tôi đồng cảm với nhân vật. Không hẳn là tôi bị hội chứng sợ dơ, nhưng tôi rất ngán các nhà vệ sinh có cửa nắm thế này và hơn một lần tôi cũng đứng chờ có người mở cửa vào để đi ra mà không phải chạm tay :-).

Tôi bắt đầu chú ý đến thiết kế của các toilet công cộng từ cách đây vài năm. Tôi thấy thiết kế toilet không phải chuyện đơn giản. Có rất nhiều vấn đề, đôi khi rất nhỏ thôi, mà nếu làm không tốt sẽ có thể gây ảnh hưởng đến sức khỏe của nhiều người.

Một toilet thiết kế tốt phải touch-free, nghĩa là người ta đi ra, đi vào, ngồi xuống, xả hàng, đứng lên, rửa tay, lau tay v.v. tất tần tật đều không phải chạm vào bất kỳ vật gì cả. Nếu phải chạm thì việc chạm đó phải diễn ra trước khi người ta rửa tay hoặc là phải cung cấp giấy lót tay khi chạm vào đâu đó.

Quan trọng nhất là cửa ra vào. Cách thiết kế tốt nhất là không cửa. Đây cũng là cách thiết kế thường thấy của toilet ở các sân bay. Nếu lỡ chẳng may đã làm cửa (do không đủ không gian), thì phải nghĩ đến chuyện làm sao người ta có thể mở cửa mà không bị dơ tay. Có nhiều cách để làm, mỗi cách có ưu khuyết riêng.

Ví dụ như thiết kế để cửa có thể được mở bằng cách đẩy ra. Lúc này người ta có thể dùng vai hoặc chân để mở cửa. Mở cửa ra ngoài hay vô trong cũng là một câu hỏi thú vị của thiết kế các toilet công cộng.

Một cách làm đơn giản hơn là đặt giấy lót tay ở cạnh cửa ra vào, để khách có thể dùng khi mở cửa. Lúc này phải chú ý đặt một thùng rác ngay cạnh đó, không thôi sẽ gây trở ngại cho khách không biết vứt giấy ở đâu.

Còn nhiều vấn đề nữa, nhưng tôi nghĩ bạn đã hiểu tại sao tôi nói thiết kế toilet không phải chuyện đơn giản. Không chỉ riêng toilet, mà bất kỳ vật dụng hàng ngày nào cũng đòi hỏi một sự tỉ mỉ, tinh tế và sáng tạo trong thiết kế, nếu muốn vừa đáp ứng yêu cầu của người sử dụng vừa bảo vệ được sức khỏe của họ.

Một thiết kế tốt phải bám sát thực tế. Trước khi phát hành sản phẩm, người ta thường mời các nhiều nhóm khách hàng khác nhau đến sử dụng thử sản phẩm, quay phim lại rồi từ đó phân tích và điều chỉnh sản phẩm cho đơn giản hay an toàn hơn. Khi thiết kế không tính đến sản phẩm được sử dụng ra sao trong thực tế thì sản phẩm sẽ bị dùng sai, gây ra những trở ngại, đôi khi nguy hiểm đến sức khỏe của nhiều người.

Ví dụ như chiếc pô xe máy. Tôi thấy đây là một thiết kế cực tồi và hậu quả là tôi chưa từng gặp ai ở Việt Nam mà không bị phỏng pô xe một lần trong đời. Tôi không hiểu sao sau bao nhiêu đó năm và bao nhiêu vụ tai nạn như vậy, mà những công ty sản xuất xe máy vẫn không giải quyết vấn đề này. Thậm chí nhiều công ty còn làm cho nó trầm trọng hơn, khi thiết kế phần đích xe cao hơn phần đầu (vì lý do thẩm mỹ), khiến cho những người ngồi sau xe, do phải với chân xuống đất, càng dễ chạm vào pô khi xuống xe.

Ngược lại thiết kế tốt sẽ giúp sản phẩm đơn giản, dễ sử dụng, khó sử dụng sai và không gây nguy hiểm cho người dùng. Có rất nhiều vật dụng không cần ai chỉ, không cần phải xem hướng dẫn sử dụng nhưng chúng ta vẫn có thể sử dụng thành thạo ngay từ lần đầu tiên, ví dụ như chiếc điện thoại để bàn. Điều mà ít ai biết là để thiết kế ra được một sản phẩm như thế, người ta đã phải nghiên cứu và thử nghiệm rất lâu.

Hồi TetCon 2013 có bạn sinh viên hỏi tôi là ngoài rèn luyện các kỹ năng liên quan mật thiết đến ngành an toàn thông tin như lập trình, hệ điều hành, mạng, v.v. thì còn cần phải biết thêm gì nữa không. Tôi có nói là nên đọc thêm về thiết kế. Lý do thì đã nói nãy giờ: thiết kế có ảnh hưởng trực tiếp đến usability (dịch là tính khả dụng?) của sản phẩm. Một đồng nghiệp của tôi từng nói rằng chỉ có thằng điên mới không quan tâm đến usability khi làm an toàn thông tin.

Thông thường thì sản phẩm càng có nhiều tính năng an toàn, càng có nhiều lớp bảo vệ thì usability càng kém đi. Ví dụ như nhà có nhiều cửa thì sẽ càng an toàn, nhưng mỗi khi ra vào lại phải mở khoá cửa nhiều lần, rất bất tiện. Nhiệm vụ của người kỹ sư là phải làm sao cân bằng được giữa security và usability. Đó chính là thiết kế.

Một thiết kế tồi sẽ khiến cho người dùng khó chịu và tìm cách luồn lách để làm được việc họ muốn làm mà không phải đi xuyên qua các bước kiểm tra an toàn, bất kể nguy hiểm thế nào. Lúc này các tính năng an toàn đã bị vô hiệu hóa bởi chính đối tượng mà chúng cần phải bảo vệ. Đây là một thất bại của người kỹ sư.

Thiết kế tồi còn khiến cho người dùng dễ mắc sai lầm. Ai sử dụng Microsoft Windows hay bất kỳ hệ điều hành nào khác chắc hẳn đều đã gặp các thông báo cài đặt bảng vá hay nâng cấp mới. Đây là một thiết kế rất dở, bởi lẽ nó yêu cầu người dùng đưa ra một quyết định rất quan trọng, nhưng quên mất rằng phần lớn chúng ta không thể phân biệt được đâu là một thông báo của hệ điều hành, đâu là thông báo giả danh của bọn lừa đảo. Tôi nghĩ Chrome làm rất tốt ở chỗ này, khi họ âm thầm cập nhật và người dùng chỉ cần nhấn một nút hoặc tắt trình duyệt mở lại là có ngay bản mới nhất.

--

Đọc cái gì bây giờ để hiểu thêm về thiết kế?

Bài báo kinh điển Why Johnny can't encrypt của Whitten và Tygar chỉ ra rằng những tính năng an toàn phải được thiết kế đặc biệt hơn các tính năng khác nếu không người sử dụng sẽ không hiểu hoặc không biết cách sử dụng chúng. Sau bài báo này của Whitten và Tygar, đã có rất rất nhiều nghiên cứu khác tập trung vào đề tài usable security. Những ai quan tâm có thể xem thêm cuốn Security Engineering của Peter Gutmann.

Một cuốn sách rất tốt về thiết kế nên đọc là The Design of Everyday Things. Đọc nó rồi bạn sẽ không còn bao giờ đi tè trong bình yên được nữa :-). Về thiết kế phần mềm và thiết kế web, thì nên tìm đọc những cuốn kinh điển như Don't Make Me Think, Designing The Obvious, hoặc các bài viết về thiết kế của Joel Spolsky và sách của Jakob Nielsen.

ok glass

2013-03-13T21:03:00.001-07:00

Tìm tình nguyện viên cho TetCon 2013

2013-01-10T19:53:00.005-08:00

Cập nhật: cảm ơn các bạn đã ủng hộ. Hiện tại ban tổ chức đã có đủ tình nguyện viên rồi, nên không nhận thêm nữa.

Ban tổ chức TetCon 2013 đang tìm tình nguyện viên để hỗ trợ việc tổ chức hội thảo. Ưu tiên cho những bạn đang là sinh viên, giao tiếp được bằng tiếng Anh và có phương tiện đi lại.

Quyền lợi bao gồm:

Tham dự hội thảo miễn phí (nếu bạn đã đóng tiền, ban tổ chức sẽ hoàn lại).
Tham dự các buổi tiệc dành riêng cho diễn giả và ban tổ chức.
Các chi phí đi lại phục vụ hội thảo sẽ được ban tổ chức tài trợ 100%.
Quà tặng của ban tổ chức.

Công việc cụ thể:

Chuẩn bị hội trường, in ấn tài liệu, thẻ đeo, áo thun, v.v.
Lễ tân trong thời gian đón khách.
Hỗ trợ các diễn giả nước ngoài (dành cho các bạn có thể giao tiếp bằng tiếng Anh hoặc Tây Ban Nha ;-).

Bạn nào có hứng thú, xin vui lòng gửi email giới thiệu sơ lược bản thân về địa chỉ thai@tetcon.org. Ưu tiên cho những bạn gửi sớm.

Công bố chương trình chính thức TetCon 2013

2013-01-09T01:27:00.002-08:00

Anh Nguyễn Anh Quỳnh đã cập nhật thông tin bài nói chuyện của anh ấy và ban chuyên môn cũng đã gút lại chương trình chính thức (rất hay!) sau khi làm việc với từng diễn giả. Tổng cộng sẽ có 9 bài (năm ngoái chỉ có 7 bài) và 1 buổi thảo luận bàn tròn. Mời xem chi tiết ở đây.

Lúc ngồi lên lịch cho các bài tôi không để ý lắm, nhưng bây giờ nhìn lại mới thấy tôi đã vô tình chia các bài ra làm ba nhóm chủ đề, cho ba buổi của hội thảo. Nhóm thứ nhất là đề tài an toàn web, có bài của anh Eduardo, anh Tiến và tôi. Nhóm thứ hai là đề tài an toàn hệ thống, có bài của anh Bruce, anh Dương và anh Paul. Nhóm cuối cùng là đề tài mã độc với bài của anh Sơn, anh Trung và anh Quỳnh. Cá nhân tôi đặc biệt quan tâm đến bài của anh Eduardo, anh Bruce và anh Quỳnh. Hai bài đâu tôi đã có giới thiệu ở đây; một vài ngày tới tôi sẽ giới thiệu về bài của anh Quỳnh.

Ngoài các bài nói chuyện chính thức, hội thảo còn có phần thảo luận bàn tròn, với đề tài làm thế nào để trở thành kỹ sư an toàn thông tin và có thể bắt đầu nghiên cứu trong lĩnh vực này. Theo kinh nghiệm từ hội thảo năm ngoái cũng như trao đổi trên các diễn đàn, tôi thấy đề tài này là thắc mắc của rất nhiều bạn sinh viên học sinh, cũng như những người mới vào nghề. Hi vọng những khúc mắc của các bạn sẽ được giải đáp trong phần trao đổi này.

--

Hiện giờ do tổng số người đăng ký tham dự hội thảo đã gần gấp đôi so với số chỗ ngồi chính thức, ban tổ chức sẽ tạm dừng đăng ký mới để ưu tiên cho những ai đã đăng ký mà chưa thanh toán tiền vé. Bạn nào chưa thanh toán tiền vé nên nhanh chóng liên hệ với ban tổ chức (xem hình thức thanh toán) để sớm xác nhận vé.

--

Ban tổ chức đang tìm tình nguyện viên để hỗ trợ việc tổ chức hội thảo. Ưu tiên cho những bạn đang là sinh viên, giao tiếp được bằng tiếng Anh và có phương tiện đi lại. Quyền lợi bao gồm:

Tham dự hội thảo miễn phí (nếu bạn đã đóng tiền, ban tổ chức sẽ hoàn lại).
Tham dự các buổi tiệc dành riêng cho diễn giả và ban tổ chức.
Các chi phí đi lại phục vụ hội thảo sẽ được ban tổ chức tài trợ 100%.
Quà tặng của ban tổ chức.

Bạn nào có hứng thú, xin vui lòng gửi email giới thiệu sơ lược bản thân về địa chỉ ~~organizers@tetcon.org~~ thai@tetcon.org. Ưu tiên cho những bạn gửi sớm.

Thuyền nhân

2012-12-22T03:20:00.001-08:00

Tôi cứ thấy rùng mình mỗi khi nhớ lại câu chuyện của anh Ngô Quang Hưng và những người vượt biên cùng với anh ấy [1]. Một phần vì anh Hưng là người mà tôi quen biết, nên dễ có liên hệ cảm xúc hơn so với những nhân vật khác trong sách. Một phần vì tôi thấy sợ cái ý nghĩ rằng chỉ cần một xáo trộn ngẫu nhiên nào đó thì rất có thể đã không có giáo sư Ngô Quang Hưng. Và, khiếp đảm hơn nữa, còn bao nhiêu giáo sư Ngô Quang Hưng khác đã mãi mãi nằm lại với biển trong những năm tháng đó.

Khi những người con của đất nước của dân tộc phải đánh đổi mạng sống để chiến đấu bảo vệ quê hương xứ sở, đó đã là một bi kịch lớn. Khi họ phải vào sinh ra tử chỉ hòng thoát ra khỏi chính đất nước của mình, đó là một tấn hài kịch cười ra nước mắt ràng rụa, mà những kẻ hậu sinh không được quyền quên.

[1] Được mô tả chi tiết trong phần I cuốn Bên Thắng Cuộc của Huy Đức.

Cập nhật chương trình TetCon 2013

2012-12-18T01:48:00.004-08:00

Sau hơn 2 tuần thảo luận, cuối cùng ban chuyên môn cũng đã tạm thời chọn được 9 bài (bao gồm 4 bài của khách mời) cho TetCon 2013. Mời xem chi tiết ở đây.

Theo thông tin mà tôi nhận được thì anh Sơn và anh Quỳnh hứa hẹn sẽ có hai bài rất hay. Về phần tôi thì tôi đang phân vân giữa hai chủ đề: nói về tấn công CRIME hay là nói về quá trình đi từ lỗi của Flickr cho đến CRIME. Bài đầu thì sẽ rất kỹ thuật, bài thứ hai sẽ thiên về chia sẻ những kinh nghiệm mà chúng tôi đã thu được trên con đường nghiên cứu về các lỗ hổng mật mã trên WWW.

Chọn bài nào nhỉ?

Khoe sách

2012-12-14T00:36:00.005-08:00

Cập nhật nhanh TetCon 2013

2012-12-14T00:13:00.002-08:00

Về khách tham dự: mặc dù chưa quảng bá rộng rãi nhưng cho đến hôm nay đã có gần 300 người đăng ký tham dự TetCon 2013, trong đó gần 150 người đã thanh toán và xác nhận vé. Bạn nào chưa đăng ký, hoặc đăng ký rồi mà chưa đóng tiền thì hãy đăng ký và đóng tiền sớm, kẻo hết vé :-).

CFP của TetCon cũng hết hạn cách đây hơn một tuần trước. Dẫu vậy để khuyến khích cộng đồng nghiên cứu còn ít ỏi của chúng ta, ban chuyên môn vẫn tiếp tục nhận bài cho đến trước khi công bố chương trình. Đến thời điểm này thì chúng tôi nhận được tổng cộng 16 bài, kể cả bài của khách mời và không kể một số bài quá cẩu thả bị loại ngay từ đầu.

Hiện giờ ban chuyên môn đang đánh giá và sẽ sớm có thông báo về các bài được chọn. Rất có thể chúng tôi sẽ tăng số lượng bài chính thức lên 8-9 bài, thay vì 7 như dự kiến.

Nhớ

2012-12-09T22:13:00.000-08:00

Thanh toán trực tuyến

2012-11-19T12:32:00.006-08:00

Một vấn đề lớn trong việc thiết kế tetcon.org là thanh toán tiền vé. Năm ngoái có 400 người đăng ký nhưng chỉ có khoảng 200 đến dự. Việc đăng ký rồi không đi dự gây khó khăn cho ban tổ chức trong việc lên kế hoạch cho hội thảo, vì thế năm nay chúng tôi yêu cầu phải thanh toán tiền vé trước.

Tôi cần một dịch vụ cho phép tôi mở một tài khoản, nhấn vài nút là tạo thành một cái form thanh toán tiền vé để có thể đặt lên tetcon.org. Có bạn nào biết công ty nào ở Việt Nam cung cấp một dịch vụ như thế? Tôi đã thử tìm nhưng mà không thấy có công ty nào cung cấp được một dịch vụ như thế cả, đành phải thanh toán qua chuyển khoản ngân hàng. Tôi biết như thế là rất bất tiện, cho cả ban tổ chức lẫn khách tham dự, nhưng đành phải chịu thôi.

Thật ngạc nhiên là cả chục năm nay chúng ta cứ nói về tiềm năng của thị trường thanh toán trực tuyến ở Việt Nam, nhưng cho đến giờ vẫn chưa có một công ty nào thực sự sống được bằng dịch vụ này, như PayPal ở Mỹ. Các công ty mở ra rồi chết đi như rạ. Các công ty còn sống sót thì chuyển qua bán thẻ cào. Hồi năm 2007 tôi có dự đoán đến cuối năm 2008 sẽ có một PayPal made-in-Vietnam ra đời và thống trị thị trường. Cho đến nay dự đoán của tôi sai bét.

Tại sao lại như thế nhỉ?

--

Cập nhật vé TetCon 2013: mới có một ngày mà đã có hơn 110 người đăng ký rồi. Do số lượng chỗ ngồi có hạn (~200 ghế), nên bạn nào đăng ký rồi mà chưa đóng tiền hoặc chưa đăng ký thì nên đăng ký và đóng tiền sớm.

Làm web

2012-11-19T00:19:00.002-08:00

tetcon.org trước đây được đặt trên Google Sites, nhưng không hiểu sao VNPT lại chặn dịch vụ này, thế là tôi phải chuyển nó qua một dịch vụ khác. Chuyển qua thì dễ rồi, cái khó là phải tự thiết kế lại toàn bộ website, chứ không thể dùng mẫu có sẵn của Google Sites nữa.

Ban đầu tôi tính thuê anh Min Tran, một designer mà tôi rất ngưỡng mộ. Nghĩ đi nghĩ lại thì thấy có lẽ tôi không có đủ tiền để thuê anh Min (tôi cũng không muốn anh ấy phải thiết kế cho tôi với giá rẻ), nên tôi quyết định tự thiết kế. Dẫu sao thì tôi cũng muốn tập thiết kế web từ lâu rồi.

Loay hoay hơn một tuần thì cũng thành ra phiên bản như bây giờ. Logo là do anh conmale thiết kế, phần còn lại thì tôi làm với Bootstrap và Google Docs. Có nhiều chỗ tôi chưa thích lắm, nhưng nhìn chung là tôi hài lòng với bản thiết kế này.

Bootstrap rất hữu ích. Bootstrap vừa giải quyết giúp tôi các vấn đề cơ bản - nhưng rất quan trọng - như layout, grid system, reset, responsive UI, v.v. vừa cung cấp rất nhiều UI element mà bất kỳ website nào cũng cần. Những mẫu thiết kế sẵn có của Bootstrap cũng rất ấn tượng, dễ hiểu và chạy tốt trên nhiều trình duyệt khác nhau. Tôi chỉ việc chọn một mẫu, chỉnh sửa lại một chút là xong.

Phần đăng ký và gửi bài thì tôi dùng Google Docs và Google Apps Script. Tôi dùng Google Docs để tạo form đăng ký - dữ liệu nhập vào đây sẽ được đưa vào một spreadsheet - và tôi viết một script nhỏ trên nền Google Apps Script để tự động gửi email thông báo cho khách. Google Apps Script cực kỳ mạnh mẽ - tôi có thể dùng nó để tùy biến và xử lý nhiều dạng dữ liệu mà tôi lưu trữ trong các dịch vụ của Google. Tôi nghĩ công nghệ này và Google Apps sẽ dần thay thế Microsoft Office, nhất là trong các doanh nghiệp vừa và nhỏ.

Phần hosting thì tôi đặt trên Linode, do tôi đã có sẵn một máy chủ ở đó. Có lẽ sắp tới tôi sẽ thử chuyển sang Google App Engine hoặc nếu nhu cầu cao hơn tôi sẽ thuê máy ở Amazon EC2.

Tóm lại, công thức để có website đơn giản, gọn nhẹ như tetcon.org: Bootstrap + Google Apps + Google App Engine/Linode/Amazon EC2.

Mời đăng ký tham dự TetCon 2013

2012-11-18T13:49:00.002-08:00

Tôi vui mừng thông báo là chúng tôi đã chốt được địa điểm và thời gian tổ chức TetCon 2013. Hội thảo sẽ được tổ chức vào ngày 15/1/2013, tại đại học Bách Khoa Tp.HCM. Hôm nay chúng tôi bắt đầu nhận đăng ký tham dự tại địa chỉ http://tetcon.org/register.html.

Cảm ơn và hẹn gặp lại ở TetCon 2013!

Hai tham luận "nặng ký" tại TetCon 2013

2012-10-30T22:56:00.003-07:00

CFP của TetCon 2013 đã đi được nửa chặng đường. Tổng kết lại thì có một tin vui và một tin buồn.

Tin buồn là số lượng bài mà chúng tôi nhận được từ cộng đồng trong nước ít và chất lượng chưa cao. Đây không phải là một tin quá ngạc nhiên, bởi số lượng người làm an toàn thông tin ở Việt Nam vẫn rất ít. Chúng ta có Hiệp hội ATTT, nhưng trong đó có nhiều CISO hơn là chuyên gia kỹ thuật lành nghề. Chúng ta có giải thưởng ATTT hàng năm, nhưng giải này trao cho các CISO, chứ không phải dành cho các hacker. Đây cũng là tình trạng chung của ngành công nghệ thông tin ở Việt Nam: quá nhiều nhà quản lý và quá ít kỹ sư giỏi.

Một điểm mới trong hội thảo năm nay là sẽ có một số diễn giả người nước ngoài, trình bày bằng tiếng Anh -1-. Việc mở rộng TetCon cho các diễn giả nước ngoài vừa giúp giải quyết vấn đề thiếu bài, vừa đem đến cho TetCon những cập nhật mới nhất trong ngành an toàn thông tin trên thế giới. Dẫu vậy nếu "quốc tế hóa" TetCon quá sớm và quá nhanh, chúng tôi e rằng cộng đồng trong nước sẽ không theo kịp, dẫn dẫn đến tình trạng diễn giả nước ngoài nói những vấn đề mà người nghe không hiểu hoặc không quan tâm. Do đó chúng tôi vẫn ưu tiên cho các diễn giả người Việt với các đề tài thiết thực, gần gũi với cộng đồng trong nước. Với diễn giả nước ngoài chúng tôi hoặc là mời trực tiếp, không thông qua CFP; hoặc là "chọn mặt gửi CFP" - chỉ gửi CFP đến một nhóm nhỏ chọn lọc.

Tin vui là chúng tôi nhận được một số bài chất lượng cao từ nhóm diễn giả này, trong đó nổi bật là bài của Eduardo Vela và Bruce Dang đến từ Google và Microsoft.

Bruce Dang là lãnh đạo đội "penetration testing" tại Microsoft, chịu trách nhiệm về sự an toàn của tất cả những sản phẩm phần mềm và phần cứng mới. Trong những năm qua, anh ấy đã trình bày về kỹ thuật phân tích mã khai thác lỗi trong Microsoft Office, dịch ngược mã nhân hệ điều hành và nghiên cứu về virút máy tính Stuxnet. Chuyên môn của anh là về nhân Windows và dịch ngược mã. Tại TetCon 2013, Bruce sẽ trình bày về những kỹ thuật chống khai thác lỗi (exploit mitigations) trên Windows 8. Đây là một đề tài chuyên sâu, dành cho những ai thích dịch ngược mã và khai thác lỗi. Điều thú vị là anh Bruce là người Mỹ gốc Việt, nêu rất có thể anh ấy sẽ trình bày bằng tiếng Việt ;-).

Eduardo Vela là đồng nghiệp của tôi ở Google và là chuyên gia hàng đầu thế giới về an toàn web. Ở đội của tôi anh ấy là một "go-to guy" mà nhiều người phải hỏi ý kiến khi "đụng" các vấn đề về an toàn trình duyệt (browser security) và ứng dụng web (web application security). Eduardo còn là một lập trình viên JavaScript siêu hạng và là đồng tác giả Web Application Obfuscation, cuốn sách được đánh giá là đã "đưa tấn công trình duyệt lên một tầm cao mới". Thú thật là mỗi lần nói chuyện với Eduardo xong là tôi lại cảm thấy không an tâm duyệt web :-(. Tại TetCon 2013, Eduardo sẽ nói về những quyết định sai lầm (về mặt an toàn) khi người ta thiết kế WWW và những nỗ lực của anh ấy và đồng nghiệp để khắc phục những sai lầm đó. Tôi nghĩ đây là một đề tài vừa thiết thực vừa không quá khó nắm bắt, phù hợp với tất cả mọi người.

Ban tổ chức sẽ cập nhật thông tin mới nhất về chương trình TetCon 2013 tại đây. Hạn chót để gửi bài đến TetCon 2013 là ngày 3/12/2012. Trong tuần tới chúng tôi sẽ có thông báo chính thức về thời gian, địa điểm và mở hệ thống để đăng ký tham dự.

Để tổ chức được TetCon với giá vé thấp nhưng vẫn đảm bảo được chất lượng của các tham luận, ban tổ chức rất hi vọng sẽ nhận được sự hỗ trợ về mặt tài chính của các cá nhân, doanh nghiệp, tổ chức trong và ngoài nước. Mời xem ở đây để biết thêm thông tin về quyền lợi của nhà tài trợ.

--

-1- Nếu điều kiện thuận lợi, ban tổ chức sẽ thuê người dịch cabin thông dịch trực tiếp những tham luận này.

Rành sáu câu

2012-10-23T00:42:00.001-07:00

Bạn Triết có hỏi tôi "Thế nào là rành sáu câu một lĩnh vực nào đó?". Tôi nghĩ rành sáu câu ít nhất phải như thế này (tương đương mức 0IO - Không dốt):

Bạn có thể đọc hiểu những thảo luận, tài liệu, sách vở, tin tức... liên quan đến lĩnh vực đó.
Bạn biết những vấn đề gì đã được giải quyết và cách giải quyết chúng.
Bạn biết khi người ta nói sai.
Bạn đọc phần giới thiệu một bài báo và biết ngay nó có quan trọng hay không.
Bạn biết những nhân vật nổi tiếng và các kết quả chính của họ.

--

Có bạn nào biết tại sao lại là rành sáu câu, mà không phải năm hay bảy câu không? :-)

Giấc mơ Mỹ

2012-10-21T23:57:00.001-07:00

Một nét văn hóa thú vị của người Mỹ là họ đầu tư nhiều thời gian, công sức và tiền bạc cho các thú vui chơi ngoài trời. Hầu hết các công ty, trường học hay cơ quan nhà nước đều nghỉ hẳn hai ngày cuối tuần và thay vì chỉ nằm ì ở nhà ăn ngủ xem phim thì người ta đi câu cá, hiking, leo núi, lặn biển... Mặc dù chỉ là thú vui, nhưng họ chơi rất bài bản với đầy đủ trang thiết bị dụng cụ và kế hoạch tập luyện để chinh phục các thử thách của môn chơi.

Tôi có một anh đồng nghiệp trong tuần làm việc rất kinh, 8h-9h sáng là có mặt và hầu như ngày nào cũng 7h tối mới ra khỏi văn phòng. Hỏi chuyện mới biết cuối tuần anh này đi chơi còn kinh hơn nữa: tuần nào cũng đi chơi rock climbing.

Tôi nghĩ thái độ "làm ra làm, chơi ra chơi" đến từ niềm tin vào giấc mơ Mỹ: nếu bạn chăm chỉ làm việc thì nước Mỹ sẽ cho bạn thời gian, sức khỏe và tiền bạc để theo đuổi những gì bạn yêu thích trong một môi trường an toàn và tự do.

Những gì "mắt thấy tai nghe" sau gần hai năm ở đây đã làm cho tôi tin giấc mơ Mỹ là có thật. Bây giờ nếu có ai hỏi tôi có thích sống ở California thì tôi sẽ trả lời là có, một sự thay đổi mà bản thân tôi cũng thấy bất ngờ.

Khổ chủ trong một chuyến camping và hiking gần đây.

Làm resume

2012-10-16T15:03:00.005-07:00

Gần một năm trước tôi có viết thế này trong bài Kinh nghiệm tìm việc làm ở Silicon Valley:

Bạn cần hai hồ sơ khác nhau. Một hồ sơ trên LinkedIn để thu hút các cơ hội nghề nghiệp từ HR và những nguồn khác. Hồ sơ thứ hai là hồ sơ mà bạn gửi cho những nhà tuyển dụng khi họ yêu cầu.

Với hồ sơ LinkedIn, bạn nên tập trung vào các mảng kỹ năng chuyên môn, trình độ học vấn và các giải thưởng nếu có. Sự thật là những tay "săn đầu người" thường đánh giá ứng viên thông qua các từ khóa ;-), nên đây là nơi mà bạn càng có nhiều từ khóa nổi bật càng tốt. Đó là lý do tôi khuyên bạn nên tìm học các lớp học miễn phí của Stanford, bởi nếu bạn đạt được điểm tốt, thì bạn có thể có được từ khóa Stanford rất nặng ký trong hồ sơ của bạn.

Với hồ sơ mà bạn gửi cho nhà tuyển dụng, bạn phải khiêm tốn. Càng khiêm tốn càng tốt. Với người có ít hơn 10 năm kinh nghiệm làm việc, tôi nghĩ 1 trang A4 là đủ. Hồ sơ nên làm bằng LaTex, xuất ra tệp PDF với các đề mục chính như thông tin liên lạc, học vấn, kinh nghiệm làm việc, kỹ năng chuyên môn và giải thưởng nếu có. Nếu bạn có làm phần mềm hoặc có làm nghiên cứu thì có thể liệt kê những công trình nổi bật nhất.

Bạn cần phải cẩn trọng khi liệt kê các kỹ năng của bạn, bởi người phỏng vấn sẽ dựa vào đó mà đặt câu hỏi. Chỉ liệt kê những gì mà bạn thật sự "rành sáu câu". Tuyệt đối không liệt kê những mảng công việc mà bạn chỉ làm qua loa hoặc đã làm quá lâu nên bây giờ bạn không còn nhớ. Tuyệt đối không liệt kê quá nhiều từ khóa cùng một lúc, nếu không thì chính bạn sẽ là nạn nhân. Bạn nên hiểu rằng người phỏng vấn bạn rất có thể là những người tiên phong và là chuyên gia hàng đầu về các kỹ năng mà bạn ghi trong hồ sơ.

Sau khi làm hồ sơ, bạn nên gửi cho bạn bè hoặc đồng nghiệp đánh giá và phê bình. Bạn cũng có thể gửi cho tôi nếu bạn muốn.

Bây giờ sau khi đã phỏng vấn, đọc và sửa resume của khá nhiều người thì tôi bổ sung thêm một số ý thế này.

Về hình thức thì LaTex vẫn là lựa chọn tốt. Có rất nhiều mẫu template miễn phí ở đây, đây và đây. Các mẫu này cũng gợi ý các nội dung nên có và kích thước của toàn bộ resume. Nếu LaTex quá khó thì có thể sử dụng các trình soạn thảo văn bản cũng được, miễn sao xuất ra được tệp PDF.

Gần đây tôi có phỏng vấn một người có hồ sơ rất ấn tượng. Phần đầu của hồ sơ (1 trang) là phần tự giới thiệu (cover letter), chứng minh rằng anh ấy là người mà team tôi đang tìm. Tiếp theo là resume (1 trang) liệt kê theo thứ tự các thành tựu (dự án đã hoàn thành), kỹ năng chuyên môn, kinh nghiệm làm việc và học vấn. Phần cuối của hồ sơ là các thư giới thiệu có chữ ký (mỗi thư 1 trang) của những nơi anh ấy đã làm việc. Toàn bộ hồ sơ được làm bằng OpenOffice, rồi xuất ra PDF.

Về nội dung thì phần quan trọng nhất vẫn là các kỹ năng. Một cách gây ấn tượng thường gặp là liệt kê thật nhiều kỹ năng và mỗi kỹ năng đều bắt đầu bằng những từ ngữ mạnh mẽ như "Strong knowledge", "Expert", "Deep understanding", v.v. Tôi thấy gây ấn tượng bằng cách này lợi bất cập hại và nên tránh. Resume thường được dùng ở hai chỗ trong quá trình tuyển dụng:

Lọc hồ sơ (screening) lúc đầu của HR/recruiter. Những người này chủ yếu dựa vào từ khóa, thành ra có ghi là "Expert" cũng không tạo thêm ấn tượng gì cả. Vả lại trong các trường hợp recruiter chủ động liên lạc hoặc có người cử tuyển thì hồ sơ của bạn sẽ không phải đi qua khâu screening này.

Phỏng vấn. Người phỏng vấn sẽ căn cứ vào resume của bạn để đặt câu hỏi. Nếu bạn ghi là "Deep knowledge" trong một lĩnh vực nào đó thì khi phỏng vấn có thể họ sẽ hỏi rất nhiều về những lĩnh vực đó, nên phải cực kỳ thận trọng. Đúng là chúng ta phải dùng resume để gây ấn tượng với người xem, nhưng mà tôi nghĩ chỉ cần liệt kê là bạn có kiến thức và kinh nghiệm trong những lĩnh vực A, B, C là được. Ghi mình là expert thì họ sẽ kỳ vọng mình là expert và sẽ đặt câu hỏi tương xứng.

Ở team tôi có một trường hợp như thế này. Có một anh rất rành Javascript. Một lần có người gửi resume vào ghi là "Expert in Javascript". Anh này rất thích, tự vì có nhiều vấn đề của Javascript mà bản thân anh ấy còn phân vân, chưa biết giải quyết thế nào, nên rất muốn nói chuyện với một người khác giỏi về Javascript. Rốt cuộc mặc dù người ứng viên cũng biết về Javascript, nhưng vẫn không đủ để có thể đạt được mức kỳ vọng "Expert" của một người làm Javascript lâu năm.

Tôi nghĩ nếu bạn muốn nhấn mạnh một kỹ năng nào đó thì cách tốt nhất là liệt kê các thành tựu liên quan đến kỹ năng đó. Ví dụ như muốn nói bạn giỏi về lập trình, hãy liệt kê các phần mềm mà bạn đã viết. Muốn nhấn mạnh bạn rất khá về an ninh ứng dụng, hãy ghi vài dòng về các nghiên cứu và lỗ hổng mà bạn đã tìm được. Nếu bạn là sinh viên mới ra trường, chưa có nhiều kinh nghiệm làm việc thì hãy viết về các lớp học mà bạn thích, có điểm số tốt hoặc làm trợ giảng.

Á Căn Đình - ekoparty 2012

2012-10-08T23:20:00.001-07:00

Lý do "chính thức" chuyến đi Á Căn Đình của tôi là để tham dự ekoparty 2012 và trình bày tấn công CRIME (niềm vui nho nhỏ: lần đầu tiên một nghiên cứu của tôi được viết thành bài riêng trên Wikipedia :-).

Người ta nói "một bức hình có giá trị bằng ngàn lời nói", nên thôi bài này chỉ có hình, phần lớn được chôm ở đây.

Sân khấu của hội thảo. Chủ đề năm nay là du hành không gian.

Khách tham dự. Nghe nói có tổng cộng khoảng 1500 người đăng ký. Cái hội trường này, vốn là một nhà hát, chắc chứa được khoảng 700-800 người.

Khu vực dành cho những đội chơi CTF

Song song với hội thảo người ta còn tổ chức một cuộc triển lãm các máy tính hồi xưa. Đây là hình một cái ổ cứng có dung lượng cực khủng là 64,5MB!

Khu vực dạy mở khóa. Khóa thật, chứ không phải khóa 128 bit :-).

Cao thủ đang chơi Super Mario. Không hiểu họ làm cách nào mà mấy cái máy này vẫn chạy tốt.

Chuẩn bị "nén" kết quả 3 tháng làm việc vào 1 giờ nói chuyện. CRIME thật sự là một thành công ngoài mong đợi. Chúng tôi không mất quá nhiều công sức cho CRIME như BEAST, mà kết quả lại tốt hơn rất nhiều.

Không đủ ghế ngồi, nên... nằm ngồi la liệt trên sàn.

:))

Đang nói thì tự dưng R kêu "La cuenta", nghĩa là "Tính tiền" rồi bất thình lình chú này chạy ra hụ còi inh ỏi.

Rồi chú này chạy ra...

Không hiểu sao mặt chú khá buồn. Có lẽ do tôi nói say sưa quá, nên chú phải chờ lâu :-)

Đợi cho chú ấy xịt lửa...

phun khói...

và bắn laze xong rồi...

...thì tôi nói tiếp :-). Tôi không hài lòng lắm với bài nói chuyện vì phần trình diễn trực tiếp cuối cùng không thành công như mong đợi. Chủ yếu do tôi chủ quan, không kiểm tra kỹ lại trước khi trình bày. Rút kinh nghiệm cho lần sau vậy!

CRIME trên báo chí Á Căn Đình (bản dịch tiếng Anh ở đây). He he R được báo chí Á Căn Đình săn đón như ngôi sao điện ảnh, nghe nói hắn còn trả lời phỏng vấn trên tivi :_)

Tiếp theo sẽ là?

Á Căn Đình - Lan man

2012-10-08T23:17:00.001-07:00

Một góc vừa Pháp vừa Tây Ban Nha ở Buenos Aires.

Cuối cùng sau bao nhiêu ngày ròng rã làm thủ tục giấy tờ chúng tôi cũng đến được Á Căn Đình. Khó khăn lớn nhất, như mọi khi, là visa.

Tôi đã đến Á Căn Đình một lần hồi còn ở Việt Nam. Lúc đó thủ tục khá nhiêu khê và tôi còn phải bay ra Hà Nội hai lần mới lấy được visa. Tôi cứ ngỡ nếu đã sống ở Mỹ rồi thì mọi việc sẽ dễ dàng hơn, nhưng không phải như thế. Tôi vẫn phải bay đến một thành phố khác để phỏng vấn visa, để passport lại, rồi quay về nhà thấp thỏm chờ đợi. Cho đến ngày cuối cùng trước chuyến đi tôi mới nhận lại được passport, sau khi đã gọi cho FedEx cả chục lần. Nếu ông Thomas Friedman là người Việt Nam thì cuốn sách nổi tiếng của ông ấy có lẽ sẽ mang tên là "Thế giới lồi lõm (vì visa)". Nhưng thôi, dẫu sao thì chúng tôi cũng đã ở đây.

O.o

Sáng thứ hai, đường từ sân bay về trung tâm thành phố đông nghẹt người và xe. Thấp thoáng hai bên đường là những tòa nhà, hình như là chung cư, nhìn cũ và bẩn. Buenos Aires đang ở cuối đông đầu xuân. Trời lạnh, nhiều gió, xám xịt mây. Khung cảnh không mấy hứa hẹn cho lắm. Ông tài xế nói như có vẻ muốn an ủi hai vị khách phương xa: "Còn vài ngày nữa là bắt đầu mùa xuân rồi. Thời tiết sẽ đẹp hơn, nhiều nắng".

Giao thông ở đây làm tôi nhớ Sài Gòn. Xe cộ mạnh ai nấy chạy, không ai nhường ai, chen lấn vô tội vạ, có cảm giác cái chết lúc nào cũng đang chực chờ. Ra khỏi nước Mỹ mới thấy khâm phục người Mỹ. Đường xá, tổ chức giao thông, ý thức chấp hành luật lệ của người đi đường... có nhiều thứ người Mỹ làm tốt đến nỗi tôi không còn để ý đến và xem đó là chuyện hiển nhiên. Nhưng thôi, dẫu sao thì chúng tôi cũng đã đến được khách sạn một cách an toàn.

Bao cao su và tháp Obelisco (hình chôm từ Wikipedia)

Khách sạn của botôi nằm ở ngay giữa "đại lộ không ngủ" Avenida Corrientes, rất gần với Obelisco, tòa tháp bút cao ngút vốn được dựng lên chỉ để hàng năm người ta bọc quanh nó một cái bao cao su khổng lồ nhân ngày AIDS thế giới. Buenos Aires (nghĩa là "khí hậu rất tốt") nằm ở bờ tây nam của Rio de La Plata, con sông rộng nhất thế giới với chiều ngang chỉ có... 200 km, cũng là biên giới tự nhiên giữa Á Căn Đình và Uruguay.

O.o

R đến đón tôi vào buổi chiều. Cũng hơn một năm rồi tôi mới gặp lại hắn, mặc dù hầu như ngày nào hai thằng cũng nói chuyện. Kể ra thì một năm chat trên mạng, dẫu có thân thiết đến đâu, vẫn không bằng một lần gặp gỡ ngoài đời. Công nghệ có hiện đại đến chừng nào vẫn không thể đem đến cho con người cái cảm giác ấm áp, bồi hồi khi siết tay và ôm chặt một người bạn. Vả lại con người trên mạng với con người ngoài đời đôi khi khác nhau một trời một vực.

Sau bao năm tham gia khắp các diễn đàn của người Việt trên mạng, tôi nghiệm ra rằng con người ngoài đời bao giờ cũng dễ thương cả. Có lẽ việc giao tiếp trong thinh lặng qua cái màn hình bé tẹo đã làm cho phần lớn chúng ta, trong đó có tôi, đánh mất những gì hay ho nhất trong con người mình. Thử tưởng tượng chuyện gì sẽ xảy ra khi các giác quan ngừng hoạt động. Tai không còn nghe, mắt không còn thấy, mũi không còn ngửi mùi, tay không còn sờ, miệng không còn nói. Cảm xúc sẽ chết đầu tiên. Mà cảm xúc chết rồi thì nói làm gì nữa. Nên phải tắt máy tính, đi ra ngoài để còn thấy, còn nghe, còn nói, còn sờ, còn ngửi!

Thế là chúng tôi đi.

Còn nhà thờ(!) này thì rất Ý.

O.o

Thủy thủ Tây Ban Nha lần đầu đặt chân đến vùng đất mà ngày nay là Buenos Aires vào đầu thế kỷ 16. Trong vòng gần 300 năm, họ giết gần hết người da đỏ bản địa, thống trị Á Căn Đình cũng như các vùng đất lân cận, dọn đường cho sự di cư ào ạt của người da trắng từ châu Âu sang "Thế giới mới".

Á Căn Đình giành độc lập từ người Tây Ban Nha vào đầu thế kỷ 19. Trong suốt 100 năm sau đó, thông qua xuất khẩu thịt bò và nông sản, Á Căn Đình vươn lên trở thành một trong những quốc gia cường thịnh nhất thế giới. Cho đến tận đầu thế kỷ 20 thì chỉ có bảy quốc gia khác giàu có hơn Á Căn Đình (Bỉ, Thụy Sĩ, Anh và bốn thuộc địa cũ của Anh kể cả Mỹ). Năm 1909, thu nhập bình quân đầu người của Á Căn Đình gấp rưỡi Ý, gấp ba lần Nhật và gấp năm lần Brazil. Nhưng kinh tế Á Căn Đình tuộc dốc không phanh trong nửa sau thế kỷ 20. Cho đến năm 2000, thu nhập bình quân của Á Căn Đình chưa bằng phân nửa Nhật.

Chuyện gì đã xảy ra với Á Căn Đình? Tại sao một quốc gia được đánh giá có tiềm năng không thua gì Mỹ lại tụt hậu đến như vậy chỉ sau 100 năm? R nói Á Căn Đình bị phương Tây, đứng đầu là Mỹ, trừng phạt vì đã không ngả theo phe Đồng Minh trong chiến tranh thế giới thứ II. Tổng thống Á Căn Đình lúc bấy giờ chỉ tuyên bố ủng hộ quân Đồng Minh vài ngày trước khi chiến tranh kết thúc. Điều này cũng dễ hiểu, bởi lẽ phần lớn người Á Căn Đình có nguồn gốc từ Tây Ban Nha, Ý và Đức, ba quốc gia thuộc hoặc ủng hộ phe Phát Xít. Sự trừng phạt này, nếu có, cùng với các chính sách kinh tế sai lầm và sự bất ổn chính trị với nhiều cuộc đảo chính tiếp nối bởi các chế độ độc tài trong một thời gian dài đã đẩy kinh tế Á Căn Đình rơi vào một cuộc đại khủng hoảng trong những năm chuyển giao thiên niên kỷ.

- Tôi nghĩ vấn đề lớn nhất là chính phủ bất tài và tham nhũng.
- Thế người dân không làm gì sao? Ở đây có dân chủ mà đúng không? Anh cũng nói là hệ thống giáo dục ở đây rất tốt, mà lại miễn phí hoàn toàn ở cả bậc đại học, cho nên tôi nghĩ dân trí không phải là thấp.
- Họ biểu tình suốt đấy chứ, nhưng cũng không thay đổi được gì. Cuộc khủng hoảng kinh tế khiến cho nhiều người mất nhà cửa việc làm, phải sống dưới mức nghèo khổ. Cho nên mặc dù mỗi lần bầu cử đều có rất nhiều đảng phái tham gia ứng cử, nhưng các đảng lớn có nhiều tiền và nhiều quyền lực thường dễ dàng "mua" phiếu bầu của người nghèo.
- Như vậy cũng tốt chứ, vì họ giúp người nghèo mà?
- Không đâu. Thay vì tạo công ăn việc làm, họ chỉ cho thức ăn hoặc tiền. Không có cần câu thì vẫn sẽ đói sau khi ăn hết cá.

Phủ Tổng Thống, không biết xây theo trường phái kiến trúc nào. Biểu tình nhiều đến nỗi bây giờ họ phải rào kín lại.