Posts

Showing posts from 2011

Thông báo mới về TetCon 2012

Ban tổ chức TetCon 2012 xin trân trọng thông báo về thời gian và địa điểm chính thức của hội thảo như sau: Thời gian: 8h - 18h, thứ sáu, 13/1/2012  Địa điểm: Phòng hội trường - Lầu 6 – Tòa nhà Trung Tâm Thông tin Hợp tác Quốc Tế Thông Tấn tại TP.HCM- 116-118 Nguyễn Thị Minh Khai, Phường 6, Quận 3, TP.HCM  Sau khi thống nhất chương trình hội thảo vào ngày 3/1/2012, ban tổ chức sẽ gửi email xác nhận với những khách đã đăng ký tham dự hội thảo. Trong thời gian chờ đợi, xin vui lòng xem qua chương trình dự kiến ở đây và danh sách diễn giả tạm thời ở đây . Đã có gần 300 khách đăng ký tham dự hội thảo, cho đến thời điểm tôi viết thông báo này. Hôm nay và ngày mai cũng là hạn chót để gửi tham luận đến TetCon 2012.

Hội thảo Tết 2012

Một số cập nhật: 1. Thông tin mới về giá vé dự kiến: * Đăng ký trước ngày 17/12/2011: 200.000 đồng/người. * Đăng ký trước ngày 31/12/2011: 300.000 đồng/người. * Đăng ký trong ngày hội thảo: 500.000 đồng/người. Chúng tôi nhận thanh toán thanh toán bằng tiền mặt khi bạn đến dự hội thảo. Tất cả loại vé đều giảm 50% nếu có thẻ sinh viên còn hiệu lực. Xin nhấp vào đây để đăng ký . 2. Mời gửi tham luận: Hội thảo Tết là một diễn đàn để thảo luận những kinh nghiệm thực tiễn trong việc đảm bảo an toàn cho sản phẩm và hệ thống thông tin của doanh nghiệp, cũng như những nghiên cứu và phát triển mới nhất trong lĩnh vực an toàn thông tin ở Việt Nam cũng như trên thế giới. Tham luận có thể thuộc các chủ đề như: Ứng dụng web và các khung ứng dụng. Trình duyệt web và HTML5. Thiết bị di động. Điện toán đám mây. Thương mại điện tử. Phần mềm độc hại và an toàn cho người dùng cuối. Tấn công từ chối dịch vụ. Phòng chống và phát hiện xâm nhập. Theo dõi và quản trị an toàn mạng. C

hai con cá con đang bơi tung tăng thì gặp một con cá già bơi ngược chiều. con cá già gật đầu chào, rồi hỏi, "này nhóc, thấy nước mát không?". hai con cá con tiếp tục bơi một đoạn ngắn, rồi một con liếc mắt nhìn con kia và hỏi, "nước là cái quỷ gì vậy mậy?" (*) cá sống trong nước nhưng lại không biết là chúng đang sống trong nước. nước có mặt ở khắp mọi nơi, bao trùm tất cả nên cá không thể nào thấy  được nước. cho đến khi chúng ra khỏi nước. -- hôm qua vô tình đọc được những mẩu chuyện về cuộc sống thời "đêm trước đổi mới" cách đây chừng 20-25 năm. đúng là như nhiều người nói, không sống trong thời đó thì không thể nào mường tượng được một cuộc sống kỳ lạ đến như thế. thế mà chúng ta vẫn chịu đựng và chịu được. cho đến bây giờ. cho đến bao giờ? có lẽ phải ra khỏi sự kỳ lạ mới thấy được sự lạ kỳ... -- (*) truyện đọc được ở đâu đó mà không nhớ ở đâu.

Pwnies Award 2011

Image
mấy hôm nay đang buồn buồn rầu rầu về những ước mơ lớn của cuộc đời. tự dưng nhớ đến đoạn video này, mở ra xem, thế là vui vẻ phấn chấn trở lại ;-). J. đi nhanh quá, tôi gần như chạy theo mà vẫn không kịp. lúc về khách sạn, hắn nói, "tao mắc cỡ quá nên muốn nó kết thúc càng sớm càng tốt..." ha ha ha tôi cũng mắc cỡ, bối rối quá cứ tháo kính ra, đeo kính vào :-". đường đến ước mơ còn xa lắc, còn nhiều lắm chông gai, nhưng thế mới vui!

Lớp học mật mã miễn phí ở Stanford

Cập nhật : Lớp an toàn máy tính cũng sẽ được dạy miễn phí vào học kỳ mùa đông 2012! Lớp này là phiên bản mở của lớp CS155 . Hai mảng đề tài thú vị mà lớp này sẽ giới thiệu là khai thác – phòng chống các lỗ hổng hư bộ nhớ và an toàn web. Nhóm nghiên cứu an toàn web của Stanford là những người tiên phong trong lĩnh vực này. Tôi nghĩ nếu không có thời gian thì chỉ nên học lớp mật mã, rồi sau đó xem dần bài giảng của lớp CS155 cũng được. Chúng ta đang sống trong một thời đại rất thú vị ;-). Stanford vừa thông báo họ sẽ mở lớp dạy mật mã miễn phí do giáo sư Dan Boneh đứng lớp. Đây là phiên bản mở của lớp CS255 mà tôi học hồi năm ngoái. Loạt bài mật mã hiện đại mà tôi đang viết cũng là dựa trên nội dung của CS255. Dan Boneh là chuyên gia hàng đầu thế giới về mật mã ứng dụng và cũng là giáo sư tuyệt vời nhất mà tôi từng được học. Không chỉ dạy cho bạn tất cả những gì bạn cần phải biết về mật mã ứng dụng, mà Dan còn sẽ truyền cho bạn niềm đam mê mật mã nói riêng và học thuật nói

Kinh nghiệm tìm việc làm ở Silicon Valley

0. Bạn nào đọc blog này thường xuyên thì chắc hẳn cũng biết là tôi mới từ Việt Nam chuyển sang sống và làm việc ở Silicon Valley gần một năm nay. Bây giờ tôi đang làm việc ở Google. Hôm nay tôi muốn chia sẻ một số kinh nghiệm tìm việc làm ở Silicon Valley (SV) [1].   Đa số những người Việt đang sống và làm việc ở SV mà tôi có dịp gặp đều là du học sinh, học đại học hoặc là nghiên cứu sinh tiến sĩ ở các trường đại học của Mỹ hoặc các nước, rồi chọn SV để làm việc và định cư lâu dài. Nhiều anh chị ngạc nhiên khi biết tôi không phải là du học sinh. Thú thật là tôi cũng ngạc nhiên, khi thấy có rất ít người từ VN qua đây như tôi. Tôi tin là nhiều kỹ sư ở VN đủ khả năng và có mong muốn tìm được một việc làm ở SV. Nhưng có lẽ ít người có thông tin về các việc làm ở SV cũng như đường đi nước bước. Tôi cũng đang hỗ trợ một vài người bạn tìm việc, nên sẵn tiện viết lại đây một số suy nghĩ. -- 1. Đầu tiên bạn phải tự tin bạn đủ khả năng làm việc ở SV. Trước khi vào Google, tôi làm việ

Tìm Lỗ Lấy Tiền

Trước giờ tôi ít khi kiểm tra hộp thư rác, thế mà tự dưng sáng nay vô coi thì phát hiện ra lá thư này do Mozilla gửi từ vài ngày trước: We would like to thank you for your help on: Bug 665814 - (CVE-2011-3389) Rizzo/Duong chosen plaintext attack (BEAST) on SSL/TLS 1.0 (facilitated by websockets -76) While this doesn't qualify for a full $3000 bug bounty under our guidelines and no shipping version of Firefox was directly vulnerable to this attack (the vulnerable websockets version was disabled by default), your work did prompt us to strengthen our TLS implementation and push hard on Sun to get a fixed Java implementation to protect our users. If you send me an address we can send each of you a check for $1000.00 USD or we can do a wire transfer. For the wire transfer we will need. Bank Name: Bank address: SWIFT/IBAN Code: Account number: Name on account: Your Home address: [...] Nội dung "nhìn" quá giống một tác phẩm củ

Mật mã hiện đại (2)

Mời xem, đặt câu hỏi cũng như bình luận ở đây . Nhân tiện đây tôi cũng có một thông báo nhỏ là từ rày về sau phần lớn các bài viết kỹ thuật của tôi sẽ được viết trên blog Khoa Học Máy Tính. Mời các bạn đón đọc . Tôi vẫn sẽ cập nhật blog này khi có nhu cầu ;-).

BEAST

Image
So we gave a talk and a live demo at ekoparty last week to show how BEAST exploits a weakness in SSL to decrypt secret cookies. Please note that BEAST does not do any harm to remote servers. In fact, no packet from BEAST has ever been sent to any servers. We chose PayPal because they do everything right when it comes to server-side SSL, and that is good to demonstrate the power of BEAST, which is a client-side SSL attack. We reported the vulnerability to browser, plugin and SSL vendors several months ago (CVE-2011-3389). Current version of BEAST consists of Javascript/applet agents and a network sniffer. We have some choices for the agent. At the time we reported the bug to vendors, HTML5 WebSockets could be used to build a BEAST agent but, due to unrelated reasons, the WebSockets protocol was already in the process of changing in such a way that stopped it. We can't use the new WebSockets protocol shipped with browsers. We use a Java applet in this video, but please be aware

Chạm dây thần kinh số 7

Tối qua ngủ mà mép trái miệng cứ giật giật, cứ sợ sáng dậy sẽ bị "méo hình mất tiếng". Sáng dậy đi làm vẫn còn, giờ ngồi gõ mấy chữ này lâu lâu miệng lại giật giật. Tìm lòng vòng thì thấy người ta nói dây thần kinh số 7 bị chạm, do mệt mỏi, căng thẳng, lo âu... Mai đi khám rồi sẽ biết, nhưng mà có vẻ người ta nói cũng đúng, mấy ngày nay tôi thấy mệt mỏi, buồn và đôi khi cũng giận dữ, muốn trả đũa vì những chuyện mà người khác gây ra cho tôi. Những lúc như thế này, tôi thường nhớ đến một ý tưởng của Đức Phật. Đức Phật nói rằng ông yêu thương hết tất cả chúng sanh, và Phật giáo cũng khuyên chúng ta phải yêu thương hết tất cả chúng sanh. Bất kể người ta làm gì Đức Phật, Đức Phật cũng sẽ thương yêu họ. Nhưng mà tại sao ? Tôi không nhớ Đức Phật có giảng giải về câu hỏi này. Chắc hẳn Phật giáo có giải thích, và có lẽ lúc mà tôi nghe qua về giải thích đó, tôi thấy nó không phù hợp với những cái mà tôi tin tưởng nên tôi không nhớ. Thông thường với những câu hỏi thế này, tôi sẽ ch

Chiến tranh mạng

Trong hơn một tuần vừa rồi có khá nhiều website của VN bị tấn công và ngược lại cũng có khá nhiều website của TQ bị xâm nhập. Trên HVA, diễn đàn mà tôi tham gia thường xuyên, có một chủ đề bàn về "cuộc chiến" giữa hacker VN và TQ thu hút cả ngàn ý kiến. Có lẽ vì chủ đề này mà chính HVA cũng đã hai lần bị tấn công từ chối dịch vụ với cường độ lớn trong tuần vừa rồi. Có rất nhiều câu hỏi và lời kêu gọi được đặt ra trong chủ đề trên HVA. Có bạn kêu là chúng ta phải tiếp tục tấn công. Có bạn phê phán việc tấn công với lý do TQ mạnh hơn VN rất nhiều về hacking. Có bạn hỏi nếu xảy ra chiến tranh mạng (cyber war) thì chúng ta nên làm gì, tấn công lại hay là phòng thủ ra sao. Có bạn đề nghị nên có một tài liệu hướng dẫn kiện toàn bảo mật để giảm thiểu thiệt hại khi TQ tấn công. Một số anh em trong ban quản trị HVA cũng đã soạn và công bố rộng rãi một tài liệu như thế. Cần phải nhấn mạnh rằng, dẫu ý kiến có khác nhau, hành động có khác nhau nhưng hầu hết mọi người đều "muốn làm

Oakland 2011

Tuần sau tôi sẽ trình bày ở hội thảo Oakland 2011  với paper "Cryptography in the Web: The Case of Cryptographic Design Flaws in ASP.NET": This paper discusses how cryptography is misused in the security design of a large part of the Web. Our focus is on ASP.NET, the web application framework developed by Microsoft that powers 25% of all Internet web sites. We show that attackers can abuse multiple cryptographic design flaws to compromise ASP.NET web applications. We describe practical and highly efficient attacks that allow attackers to steal cryptographic secret keys and forge authentication tokens to access sensitive information. The attacks combine decryption oracles, unauthenticated encryptions, and the reuse of keys for different encryption purposes. Finally, we give some reasons why cryptography is often misused in web technologies, and recommend steps to avoid these mistakes. Lần này thay đổi không khí, nộp paper cho một hội thảo hàn lâm, may mắn là không những họ khôn

Xấu hổ và tự hào

Nhân dịp hôm nay đọc được một loạt bài về "yêu nước, tự hào dân tộc" trên VietnamNet, tôi xin kể cho các bạn nghe một câu chuyện nhỏ. Chỗ tôi ở có nhiều người Ấn Độ. Tôi cũng có một thằng bạn người Ấn Độ. Một hôm hai đứa đang xếp hàng chờ mua đồ ăn trưa thì có một người, qua diện mạo tôi đoán cũng là người Ấn Độ, chen ngang hàng, giành mua trước. Lúc quay lại bàn ăn, tôi có hỏi thằng bạn là mày thấy thế nào khi tự dưng có thằng người Ấn Độ làm chuyện khó coi trước mặt mày và bạn mày. Bạn tôi kêu, ơ mày hỏi gì lạ, tao không thấy gì cả, nó là người Ấn Độ, tao là người Ấn Độ, nhưng không có nghĩa là tao có trách nhiệm hay là bắt buộc phải xấu hổ về chuyện nó làm. Ai làm nấy chịu, tao chỉ xấu hổ nếu tao làm sai. Hết chuyện rồi ;-). Bây giờ bạn thử đổi "Ấn Độ" bằng "Việt Nam" và thử tự hỏi, có nên thấy xấu hổ nếu một chuyện tương tự xảy ra? Chưa hết, bây giờ bạn thử đổi "xấu hổ" bằng "tự hào" và thay vì có người chen ngang hàng, thì

Siêu hacker

1. MPlayer, Google Chrome, VLC, MythTV... có chung điểm gì? Chúng đều xài thư viện FFmpeg. Rất nhiều phần mềm khác sử dụng thư viện này và có thể cái tivi hay chiếc điện thoại của bạn cũng sử dụng FFmpeg. 2. Xen, VirtualBox, Linux Kernel-based Virtual Machine... có chung điểm gì? Chúng đều dùng công nghệ của QEmu. Xen nghe có vẻ xa lạ? Amazon EC2, và có thể công nghệ điện toán đám mây mà bạn đang dùng, sử dụng Xen. 3. IOCCC, ra đời năm 1984, là một cuộc thi quốc tế để chọn ra đoạn mã C rối rắm sáng tạo nhất. Đúng như tên gọi, các đoạn mã chiến thắng IOCCC thường rối rắm nhưng lại cực kỳ sáng tạo và đương nhiên phải hữu ích. Đơn cử như năm 2000, người chiến thắng viết một chương trình có kích thước 475 byte, in ra giá trị của 2^6972593 - 1, số nguyên tố lớn nhất từng được biết đến tại thời điểm đó, trong vài phút. Đừng thử ở nhà: viết chương trình tính số đó, xem coi mất bao lâu. Đơn cử như năm 2001, người chiến thắng viết một trình biên dịch có thể tự biên dịch chính nó, có thể

Đêm đầu tiên ở Mỹ

Giờ là 6h30 sáng, giật mình dậy lúc 3h sáng, nằm loay hoay mãi không ngủ được nữa. Cũng phải, giờ này ở nhà là mới tầm 9h-10h tối.  Đói bụng và thèm hủ tíu mì sườn quá. Nghe nói ở đây có chợ của bà con VN, món gì cũng có, chắc cuối tuần phải chạy ra xem. Trời lạnh. Mặc đến 4 cái áo mà vẫn thấy lạnh. Có lẽ là do chưa mặc đúng loại áo? Mang 2 chiếc vớ đi ngủ; giậc mình dậy, 1 chiếc đã biến mất từ lúc nào. --- Trưa nay, lúc đi từ sân bay về thành phố, đi ngang qua đại lộ 101, tự dưng lại nhớ đến cái đoạn Steve Jobs và Steve  Wozniak đang chạy xe trên 101 thì Jobs nói đại loại như, "Oh, I've got a name for the company. Apple Computer". Và như người ta nói, phần còn lại trở thành lịch sử.  Tôi nói với ông chủ, "I'm here to work for you and study crypto and things for a few years. I then start my own company".  Phần còn lại sẽ trở thành lịch sử? --- Người ở lại mỗi ngày gửi một email cho người ra đi. Những email dài như những vệt nắng vàng vắt ngang các t

Mật mã hiện đại (1)

Image
Tôi dự tính viết về đề tài này từ cả năm nay, mà mãi tới bây giờ mới có đủ động lực để viết. Có hai lý do khiến tôi bắt đầu. Thứ nhất, số là tôi đang theo học mật mã, mà kinh nghiệm cho thấy cách học (và đọc sách) tốt nhất là viết, tóm tắt lại và giải thích rành mạch rõ ràng những gì vừa học được cho người khác. Chừng nào làm được như thế thì mới có thể xem là đã hiểu được vấn đề đang muốn học. Thứ hai, hôm rồi tôi đọc một mẩu chuyện về Richard Feynman, trong đó có đoạn kể về lúc Feynman bị bệnh, gần đất xa trời, ông tâm sự rằng, "[I'm going to die but I'm not as sad as you think because] when you get as old as I am, you start to realize that you've told most of the good stuff you know to other people anyway ". Đương nhiên những gì tôi biết làm sao mà "good" bằng những gì Feynman biết, nhưng dẫu sao thì tôi cũng sẽ học theo Feynman, có biết cái gì hay ho thì giải thích cho nhiều người khác cùng biết. --*-- I. Mở đầu 1. Giới thiệu Loạt bài này tôi

Ăn thì nhiều chứ ở bao nhiêu

Hôm rồi nói chuyện với một người bạn lâu rồi không gặp, bạn kêu chuẩn bị mua nhà. "Sẽ vay ngân hàng, chứ có con rồi mà ở nhà thuê tội nghiệp nó quá!". Nghe thiệt là cảm động. Dẫu vậy tôi không đồng ý chút nào. Nói dông nói dài hay nói ngắn gọn sẽ là không nên mua nhà khi không có đủ tiền. Thế nào là đủ tiền? Đủ để trả toàn bộ số tiền của căn nhà thì quá hay, nhưng nếu phải vay thì làm sao chỉ trả nhiều nhất là 3 đến 5 năm. Thiệt ra bản thân tôi cũng không chắc nếu tôi có đủ tiền để mua nhà, thì tôi sẽ mua nhà, hay là sẽ dùng tiền làm việc khác. Tôi thấy mua vật dụng thường là rước khổ vào thân. Mua thêm cái quần cái áo, thì mỗi lần giặt đồ lại mệt thêm một chút. Lỡ mà mua đồ tốt, lại sợ hư sợ rách, phải hì hục giặt tay. Mua thêm một món đồ điện tử, thì lại tốn thời gian *chơi* với nó cho đáng của. Lỡ mà mua đồ mới, mỗi lần trầy tróc, rơi rớt đổ bể, lại buồn thúi ruột vì tiếc của. Những cái khổ này chỉ là cỏn con thôi, nhưng mà chú ý là tài sản giá trị càng lớn thì càng khổ nh