Posts

Showing posts from 2017

Thời gian

Hôm thứ sáu tôi nhấn nút phát hành phiên bản đầu tiên của Tink, thư viện mã hóa miễn phí, mã nguồn mở do nhóm của tôi ở Google phát triển.

Từ đầu năm đến nay ngoại trừ cuối tuần và hai tuần về Việt Nam ngày nào tôi cũng làm việc trung bình 12 tiếng. Có những ngày ở Châu Âu buổi sáng đi làm trời còn chưa tỏ, ra về trời đã tối mịt. Có những đêm đi ngủ mà lòng cứ nao nao, chỉ mong trời sáng để tiếp tục công việc. Mệt nhưng hào hứng vì tôi tin rằng, dẫu còn nhiều chỗ cần phải hoàn thiện, Tink đã và sẽ có tác động tích cực và lâu dài đến việc triển khai các giải pháp mật mã ở Google và trên thế giới.

Làm việc với cường độ và áp lực cao trong một thời gian dài đem đến cho tôi vài suy nghĩ mới.

Thứ nhất, rất khó để cho một ai đó biết quý và sử dụng thời gian hợp lý cho đến khi họ phải làm việc cực lực, chạy đua với thời gian. Một khi đã thấy trong một tiếng đồng hồ ta có thể làm được bao nhiêu việc, tôi đã phải cân nhắc từng hoạt động hàng ngày và không còn đủ can đảm theo đuổi những hoạt độ…

Internet Banking: cấm không có nghĩa là an toàn, an toàn không có nghĩa là khách hàng sẽ muốn xài

Nhân cuộc tranh luận về mật khẩu Internet Banking tôi mới nhớ năm 2016 tôi phát hiện một cách vô hiệu hóa hàng loạt tài khoản của một vài ngân hàng trong nước. Thời điểm đó, một người xấu có thể dễ dàng vô hiệu hóa vài chục nghìn tài khoản. Nếu có sự chuẩn bị trong 1-2 tuần, hoàn toàn có thể vô hiệu hóa vài trăm nghìn tài khoản. Tôi đã thông báo cho các bên liên quan.

Các dịch vụ Mobile Banking mà tôi xem đều sử dụng số điện thoại để làm tên người dùng. Tôi tìm thấy một cách để xác định một số điện thoại bất kỳ có sử dụng dịch vụ Mobile Banking của một số ngân hàng trong nước. Tôi viết một chương trình, chạy trong 2 ngày cuối tuần thì tìm được gần 1500 tài khoản. Việc làm này được sự đồng ý của bên ngân hàng.

Nếu chạy lâu hơn, tối ưu chương trình, tìm được vài trăm nghìn tài khoản là chuyện trong tầm tay. Sau khi đã có danh sách tài khoản, chương trình của tôi có thể tạo ra sự kiện đăng nhập sai và từ đó vô hiệu hóa các tài khoản, vì các ngân hàng này đều thực hiện chính sách "kh…

Hang Sơn Đoòng

Tuần rồi tôi may mắn có được một trải nghiệm khó quên khám phá hang Sơn Đoòng ở Vườn Quốc Gia Phong Nha Kẻ Bàng. Trước khi đi tôi có xem thoáng qua vài hình ảnh của Sơn Đoòng, nhưng thật sự không hình ảnh hay bút mực nào có thể diễn tả được sự kỳ vĩ mà tôi lần đầu được chiêm ngưỡng. Có lúc trong hang tôi cứ ngỡ là đang du hành vào trung tâm trái đất, nhưng có lúc tưởng rằng đang bò lên bộ não của một người khổng lồ ở một hành tinh khác, rồi có lúc lại ngỡ rằng đang ngược thời gian trở về quá khứ vài trăm triệu năm để ăn, ngủ và tắm cùng với đá và hóa thạch già hơn khủng long.

Không ai có thể sống trong lòng Sơn Đoòng mà không thấy mình nhỏ bé, không đáng kể. Đời người sinh lão bệnh tử, một vòng luân hồi cứ ngỡ trăm năm nhưng kỳ thực chỉ như cái chớp mắt của Mẹ Thiên Nhiên. Lặng nhìn những con cá không màu không mắt sinh ra rồi chết đi trong một vũng nước bé tẹo giữa một khoảng không vô tận, lòng tôi dấy lên một nỗi thương cảm khó tả, không biết cho cá, cho người, hay cho chính mình.

C…

Công cụ giải mã WannaCry

Một ý tưởng đơn giản mà đến giờ mới có người thực hiện: tìm kiếm chìa khóa để giải mã dữ liệu trong bộ nhớ.

Tôi chưa sử dụng công cụ https://github.com/aguinet/wannakey, nhưng theo như tác giả (https://twitter.com/adriengnt) thì trên Windows XP chìa khóa sẽ vẫn còn nằm trong bộ nhớ, còn trên Windows 10 chìa khóa đã bị xóa. Nếu bạn chạy Windows XP, từ lúc bị nhiễm WannaCry đến giờ chưa tắt máy thì vẫn có cơ hội lấy lại dữ liệu mà không cần phải trả tiền chuộc.

Nếu đã tắt máy rồi hoặc không sử dụng Windows XP thì chỉ còn cách bỏ tiền ra chuộc lại dữ liệu. Tự mua bitcoin không khó. Nếu không biết cách tôi có thể mua giùm, hoàn toàn không lấy phí gì thêm. Nếu số lượng máy tính quá lớn, nên thương thảo với đám tống tiền. Có vẻ như họ sẵn sàng giải mã không lấy tiền nếu biết cách nói chuyện.

Trả lời phỏng vấn đài Châu Á Tự Do về OceanLotus

Cách đây vài hôm hãng FireEye đưa ra một báo cáo về nhóm hacker OceanLotus và cho rằng nhóm này "conduct targeted operations that are aligned with Vietnamese state interests", tức là thực hiện các phi vụ có chủ đích gắn với lợi ích của Việt Nam. Hacker làm việc cho chính phủ Việt Nam không mới (ví dụ như nhóm Sinh Tử Lệnh), nhưng đây là lần đầu tiên có báo cáo về một nhóm hacker xâm nhập các mục tiêu nước ngoài.

Nếu đúng như FireEye báo cáo, tôi thấy đây là một bước tiến tích cực, vì sẽ rất khó cho chính phủ Việt Nam đảm bảo lợi ích quốc gia nếu như họ không tiến hành do thám, thu thập tình báo, hay thậm chí phá hoại ở các nước có ảnh hưởng đến lợi ích của Việt Nam. Dẫu vậy tôi không quá lạc quan, bởi chưa có nhiều bằng chứng để tin rằng chính phủ Việt Nam thôi không sử dụng hacker để theo dõi, kiểm soát người dân và đàn áp tự do.

Thông qua một người bạn, đài Châu Á Tự Do (RFA) có phỏng vấn tôi về sự kiện này. Bài phỏng vấn đăng nguyên văn ở http://www.voatiengviet.com/a/chu…

[Scholarship] Women Techmakers Scholars Program

From https://www.womentechmakers.com/scholars:

Women Techmakers Scholars will each receive a cash award for the 2017-2018 academic year. A group of female undergraduate and graduate students will be chosen from the applicant pool, and scholarships will be awarded based on the strength of each candidate's impact on diversity, demonstrated leadership and academic background. All scholarship recipients will be invited to attend the annual Women Techmakers Scholars' Retreat in one Google’s Asia Pacific offices in 2017 to connect with fellow scholars, network with Googlers and participate in a number of workshops.

The deadline to apply is May 22, 2017. For questions, please email WTMScholars@google.com.

Trả lại cho dân

https://www.youtube.com/watch?v=EXJCj360LsI&t=1089

Tôi thích ca khúc này từ lâu, đã nghe Quốc Khanh - Đan Nguyên ca nhiều lần. M với tôi còn tập ca chung. Đây là lần đầu được nghe dân mình đồng ca để phản đối chính quyền. Thật xúc động và xin nghiêng mình cảm phục những người chị người anh người mẹ người cha đã dũng cảm, hiên ngang đứng lên chống lại bạo quyền, đòi lại quyền tự do, quyền con người, quyền mưu cầu hạnh phúc cho nhân dân tôi.

Thư ngỏ gửi ông Trung Dân

Ông Trung Dân,

Nếu ông chưa từng và không có ý định chui đầu vào cầu tiêu, ông không việc gì phải nhục khi người không vú vu khống cho ông, nhất là trong một gameshow ông được trả tiền để trở thành trò cười cho thiên hạ. Ông làm trò ăn tiền mà, bây giờ người ta lấy ông ra làm trò, ai cũng biết và đặc biệt là ông biết ông không có chui đầu vào cầu tiêu, sao phải xoắn?

Hay là... ông đã từng chui đầu vào cầu tiêu, ông đã giấu kín bao nhiêu năm nay, nhưng tự dưng cái dĩ vãng dơ dái đó bây giờ cả nước đều biết!? Trong trường hợp này ông cũng chẳng cần phải nhục. Làm đàn ông, ai mà chẳng từng chui đầu vào những chỗ đen thui và ẩm ướt như vậy, nhục thì chẳng có nhưng dục thì đầy. Ông Dân ơi, trí thức thì phải dùng cái đầu.

Hay ông thấy tuổi nhục vì tự dưng lại đâm đầu vào một chương trình tào lao mía lao? Đây là một suy nghĩ tôi có thể hiểu được. Tôi cũng vài lần tự hỏi những quyết định sai lầm nào của cuộc đời đã đưa đẩy mình đến đây, vào giờ phút này, giữa những người này, trong một không …

Người Nhãn

(Truyện hư cấu, có thật 100%).

Cho đến khi dân Chợ Hai Trăm dựng sạp làm đám ma cho Người Nhãn, ai nấy mới tá hỏa không biết tên thật của hắn là gì, bao nhiêu tuổi, cũng không ai biết gia đình quê quán ở đâu. Cả đám người xúm lại, đứng ngồi xớ rớ bên cái hòm còn sực mùi vẹc-ni đặt chình ình giữa con đường xi măng nối Chợ Hai Trăm với Nhà Thờ, bàn tán không ra bàn tán, than khóc không ra than khóc. Trưa Sài Gòn tháng tư nắng như tát vô mặt.

Thằng Tô Hùng hỏi mà như nói, cái mỏ nó chu chu, mắt nó sáng lên giống như đánh bài cào được chín nút, hay là nó tuổi con chó? Tự lần nào rủ nó đi nhậu thịt cầy nó toàn đéo đi, nói kị thịt chó. Thằng Mặt Mốt nói đụ má mày đéo nói đéo ai biết mày ngu đâu Tô Hùng, nó đéo ăn thịt chó thì có liên quan gì đến tuổi của nó? Mày ngu thì ngu vừa vừa thôi, chừa chỗ cho quan chức nó ngu với. Thằng Tô Hùng nóng mặt, chửi đụ má thì thấy sao tao nói vậy, mày làm con cặc gì mà chửi tao? Thằng Tô Hùng hất hàm nhìn thằng Mặt Mốt, mắt nó long lên. Sáng giờ nó đã sôi…

Cảnh báo: OneCoin là một trò lừa đảo

Tôi nghe nói ở Việt Nam hiện giờ đang có nhiều người cầm cố nhà cửa để mua và đào OneCoin. OneCoin là một trò lừa đảo theo kiểu bán hàng đa cấp, đã bị cấm ở Đức, Ý và Ấn Độ.

Tại sao nên tin tôi? Tôi là kỹ sư máy tính, làm việc ở hãng Google (Mỹ), có hơn 3 năm đầu tư và tìm hiểu về tiền điện tử. Tôi không có bất kỳ dây mơ rễ má gì với OneCoin, chỉ là tôi thấy đây là một trò lừa đảo nên muốn cảnh báo.

Tháp thành công

Seth Godin chỉ ra rằng cái tháp thành công của bất kỳ việc gì ở đời trông như thế này:
1. Thái độ
2. Cách tiếp cận
3. Mục tiêu
4. Chiến lược
5. Chiến thuật
6. Thực hiện

Càng đi xuống dưới càng kém quan trọng. Vậy mà chúng ta hầu như chỉ quan tâm vào bước cuối cùng, cũng là bước kém quan trọng nhất.

Các bạn học sinh sinh viên email cho tôi hỏi rất nhiều về việc nên học lập trình ngôn ngữ nào, đọc sách nào, nên xài Windows hay Linux, lấy chứng chỉ gì, có nên thi vào đại học đó hay không, v.v. Những việc đó không phải là không cần phải nghĩ đến, nhưng tôi luôn muốn giải thích rằng trước tiên phải xác định được mục tiêu của mình là gì đã. Học để có việc làm, học để có kiến thức, học vì yêu thích say mê, học để đi cùng thế giới, v.v. mỗi mục tiêu khác nhau sẽ dẫn đến một cách học khác nhau và từ đó dẫn đến những cuốn sách khác nhau.
Nhưng đúng như Seth Godin nói, mục…

Vô địch thế giới

Sau khi ghi hai bàn giúp đội tuyển Việt Nam đá bại đội Hàn Quốc với tỉ số 2-1 ở vòng bán kết, Công Phượng tiếp tục tỏa sáng với ba siêu phẩm cháy lưới đội tuyển Thái Lan ở trận chung kết, lần đầu tiên đem về chức vô địch cho đội tuyển Việt Nam. Nhóm phóng viên chúng tôi đã có mặt ở sân vận động Mỹ Đình để phỏng vấn các nhân vật liên quan.

Ông Đoàn Nguyên Đức, chủ tịch tập đoàn Hoàng Anh Gia Lai, hồ hởi nói với báo giới, "Cuối cùng cũng đến ngày được nhìn thấy lứa Công Phượng vô địch thế giới. Chưa bao giờ tôi thấy hạnh phúc như hôm nay. Hồi xưa nhìn tụi nhỏ chân không đá banh đâu có ai tin tôi khi tôi nói bọn chúng sẽ làm nên chuyện. Từ lúc bọn nó vô địch giải U21 Báo Thanh Niên năm nào tôi đã âm thầm chuẩn bị tất cả cho ngày hôm nay rồi. Tôi đã phải đàm phán với FIFA rất căng để đem giải vô địch thế giới về Việt Nam".

Chủ tịch VFF, ông Trần Quốc Tuấn, phát biểu, "Kính thưa các anh chị phóng viên. Kính thưa bạn đọc. Không phải tôi…

Trong lúc chúng ta đang tranh cãi

Image
Trung lúc chúng ta đang tranh cãi liệu Phan Anh có nên trích 20 tỉ trong số 22 tỉ quyên góp ủng hộ đồng bào lũ lụt miền Trung để trả nợ cho mẹ Đàm Vĩnh Hưng, Trung Quốc vượt Nhật, trở thành nền kinh tế lớn thứ hai thế giới, hăm he vượt Mỹ.

Trong lúc chúng ta đang tranh cãi liệu Trấn Thành sau khi bị đài Vĩnh Long cắt hợp đồng có quyền được xài WiFi khi uống trà sữa Phúc Long nữa hay không, Trung Quốc đưa người lên trạm vũ trụ do chính họ xây dựng.

Trong lúc chúng ta đang tranh cãi liệu Ngọc Trinh và Hoàng Kiều đã cùng nhau xuất 12 lần cho đáng cái giá 12 tỉ đồng hợp đồng ái tình, giống như Phương Nga và Cao Toàn Mỹ đã cùng nhau xuất 17 lần trong hợp đồng tình ái 17 tỉ đồng, Trung Quốc xây xong hàng loạt căn cứ quân sự ở Trường Sa.

Trong lúc chúng ta đang tranh cãi liệu Đinh La Thăng bị kỷ luật có phải vì nghe lời giáo sư Trương Nguyện Thành mặc quần đùi đi họp Bộ Chính Trị, Trung Quốc trở thành tâm điểm sáng tạo công nghệ thế giới, đến Silicon Valley còn phải bắt chước.

--

Báo giật tí…

Đời cha im lặng, đời con nhặt rác

Image
Bạn tôi gửi clip anh Tùng Trần trưởng nhóm nhạc Microwave giải bày về chuyện anh đi biểu tình vụ cá chết ở miền Trung và bị những người xung quanh anh cô lập. Tôi thấy ngưỡng mộ anh Tùng vì anh chấp nhận những khó khăn trước mắt của bản thân để đấu tranh cho lợi ích chung của tất cả mọi người.

Tôi để ý có một còm hỏi anh Tùng nếu anh ấy yêu môi trường như vậy, sao không đi nhặt rác? Đây không phải là lần đầu tiên tôi thấy câu hỏi này.

Thử tưởng tượng bạn đi làm mệt về đến nhà thấy nhà đầy rác. Xuống bếp ăn cơm thì đồ ăn bẩn thỉu độc hại. Lúc đó bạn sẽ đi nhặt rác hay là tìm bọn "đầy tớ" mà bạn đã nay lưng ra đóng thuế để nuôi chúng để hỏi tội?

Nhặt rác cần phải làm, nhưng chặn xả rác quan trọng hơn nhiều. Người ta nói phòng bệnh hơn chữa bệnh, cái nguyên lý này áp dụng không chỉ cho sức khỏe bản thân mà cho cả những vấn đề xã hội.

Tại sao từ thành phố đến nông thôn, chỗ nào cũng đầy rác?

Tại sao đồ ăn bẩn, có nguồn gốc không rõ ràng tràn lan?

Tại sao môi trường sống bị hủy h…

Làm hacker là làm gì?

Image

On testing (EC)DH and (EC)DSA

I found on Twitter an interesting blog post on breaking (EC)DSA and was writing a lengthy comment when some weird combination of keystrokes shutdown my browser and ate my comment, so I thought I'd write a blog post instead.

The post raises an important point, namely that one should always validate domain parameters, but I'm not sure whether the issues it describes can be found in real world applications. I haven't seen any protocol or application in which (EC)DSA signers take domain parameters from some external source. In practice, signers either generate these parameter themselves (e.g., using openssl dsaparam), or pick one of the well-known, standard parameters (e.g.,  named curves in ECDSA).

Also, if Mallory can choose g and if Alice doesn't validate it, infinite loop is the least of Alice's concern, because Mallory might as well choose g such that Alice's private key has small order, and thus can be easily recovered. A corollary to the Sylow theorems shows…

In the spotlight

Image
Today I submitted a talk to Black Hat, and they asked for a video sample of any previous conference presentations, and I recalled this talk that I gave at Real World Crypto 2017 in New York.

I wish I spoke slower and with a better accent, but I'm happy that the talk went well and I got some good questions. It could be worse, as I just arrived in New York the night before, and brought with me from Vietnam a very bad flu or cold or whatever. New York was also much colder than I expected.

It's the first time I presented at a crypto conference. While Real World Crypto is not as prestigious as Crypto, Eurocrypt or Asiacrypt, it's become the largest and, dare I say it, most useful crypto conference in the world, attracting nearly 600 people. I hope we can bring it to Vietnam in the near future.

For the nerds:
* Slides: https://www.cs.bris.ac.uk/Research/CryptographySecurity/RWC/2017/thai.duong.pdf.
* Source code: https://github.com/google/wycheproof. Read the comments in our te…

In the zone

Image
Years of practice, patience, and countless of crashes paid off... Happy.

Trump

Image
Hôm nay tôi đi biểu tình chống sắc lệnh của Trump cấm công dân 7 quốc gia ở Trung Đông nhập cảnh vào Mỹ. Không cần đi đâu xa, biểu tình ngay tại công ty.

Cùng với cuộc biểu tình này, Google ủng hộ 4 triệu USD, trong đó 2 triệu của công ty và 2 triệu của nhân viên đóng góp, cho các tổ chức bảo vệ quyền của người sống ở Mỹ nói chung, người nhập cư và người tị nạn nói riêng. Tôi ủng hộ 500 USD cho ACLU và 500 USD cho Immigrant Legal Resource Center.

Tôi biểu tình và đóng góp tiền vì tôi là người nhập cư và tôi có nhiều bạn bè và đồng nghiệp là người nhập cư. Sếp tôi, sếp của sếp, sếp của sếp của sếp... đều là người nhập cư. Trong chuỗi báo cáo từ vị trí nhân viên quèn của tôi cho đến CEO chỉ có duy nhất một người sinh ra ở Mỹ, còn lại đều là người nhập cư. Sergey Brin, một trong hai người sáng lập ra Google, là dân tị nạn.

Tôi sinh ra ở Sài Gòn, lớn lên trên Internet và trưởng thành ở Mỹ. Phần nước Mỹ mà tôi được biết cho tôi một cuộc sống ngoài mong đợi. Nếu sống ở Việt Nam có lẽ cuộc s…