Da Nang and Nha Trang which is the best tourism for you


Da Nang and Nha Trang which is the best tourism for you

— Read on goreise.wordpress.com/2019/09/05/da-nang-and-nha-trang-which-is-the-best-tourism-for-you/

Hậu hiện đại


Hậu hiện đại

 

1. Các hãng lắp ráp, mua bán xe đạp, môtô, ôtô đóng cửa. Ngựa tăng giá đột ngột, mỗi con trăm triệu (5.000 đôla) trở lên. Bò, trâu, chó và những con vật bốn chân khác được quảng cáo chạy với tốc độ trên 20km/giờ, tải trọng từ 30 đến 120 ký. Các trại huấn luyện súc vật chạy nhanh mọc lên như nấm.

Quốc lộ, đường phố, hẻm, đường làng toàn người đi bộ. Chỉ người giàu, người cần đi xa mới đi ngựa hoặc cưỡi trâu bò. Đường sá trải nhựa hoặc bêtông bỗng rộng thênh ra, hai bên đường cây phủ bóng mát rượi. Yên tĩnh, an toàn và không khí trong lành được mọi người trong nước và cả người nước ngoài cảm nhận rõ rệt.

Xứ sở nào tuyệt vời đến thế? Thưa, đó là Việt Nam sau những ngày tai nạn giao thông lên mức khủng: 200.000 người chết và bị thương mỗi ngày. Các loại xe chuyển động bằng điện hoặc xăng dầu xếp xó.

Từ đó tin tức về mục An toàn giao thông trên các phương tiện thông tin không còn ghê rợn nữa, như: “Một người đi ngựa va phải cô bé trên đường đến trường”. “Bò của một người đi đường húc vô lưng ông già đi bộ”…

2. Chợ xổm, chợ phiên, chợ lớn và siêu thị lớn nhỏ giải tán. Đồ ăn, thức uống và các vật dụng phục vụ con người từ móng chân đến đầu tóc đều quá hạn sử dụng, tất cả lén lút chở ra biển đổ. Gạo rẫy không sử dụng phân thuốc tăng giá vùn vụt. Một con cá tràu đá ở suối, bằng ngón chân cái, giá tiền ngang một ký thịt heo. Các loại sâu bọ, côn trùng trở thành thực đơn của mỗi nhà. Người ở phố rùng rùng trở lại quê, sống đời tự cung tự cấp. Một trăm mét vuông đất rẫy không chịu đổi lấy căn nhà mặt phố…

Xứ sở nào đảo ngược mọi giá trị như thế? Thưa, đó là Việt Nam sau những ngày ngộ độc thực phẩm lên đến mức khủng: 200.000 người chết mỗi ngày.

“Một người chết vì rắn cắn khi bắt côn trùng”. “Ba người bị thương vì một quả mìn phát nổ khi dọn rẫy trồng bắp”… Đó là những tin tức về mục An toàn lao động, thay cho mục An toàn vệ sinh thực phẩm, trên các phương tiện truyền thông đại chúng hiện nay.

3. Những ngôi nhà ở phố cửa mở toang cả tầng trệt lẫn tầng lầu. Những ngôi nhà ở quê cửa nẻo sơ sài thông thống từ nhà trên xuống nhà dưới. Các xí nghiệp sản xuất ổ khóa như Việt – Tiệp, Viro… đóng cửa vĩnh viễn. Anh thợ sửa khóa nhại bài thơ “Ông đồ” của Vũ Đình Liên: “Ôi mỗi năm mỗi vắng. Người độ chìa nay đâu? Kềm, giũa đành bỏ xó. Vác rựa vô rừng sâu”. Đi đâu cũng nghe mọi người ngâm nga “Hàn nho phong vị phú” của Nguyễn Công Trứ: “Ngày ba bữa vỗ bụng rau (rừng) bình bịch, người quân tử ăn chẳng cầu no. Đêm năm canh an giấc ngáy pho pho, đời thái bình cửa thường bỏ ngỏ”.

Xứ sở nào thanh bình đến thế? Thưa, đó là Việt Nam sau những ngày trộm cướp hoành hành đến mức khủng: Chỉ vì 100.000 đồng mà một mạng người đã chết. Người ta tức mình lên và không thèm tích lũy nữa, làm sáng ăn chiều cho chắc. Không của cải để dành lấy đâu trộm cướp!

Từ đó tin tức về mục An ninh trật tự trên các phương tiện truyền thông nghe nhẹ hều: “Gia đình nọ vừa bị mất trộm xoong cá rô kho mặn”. “Một thương gia bị mất trộm ngựa nhưng sau ba ngày con ngựa cái đã tìm về chủ cũ”…

4Những từ ngữ về thơ như: làm thơ, in thơ, tập thơ, nhà thơ đương đại, lều thơ, thơ mới, thơ hiện đại, thơ hậu hiện đại, thơ ca, phê bình thơ… tuyệt không một ai được phép nhắc đến. Nhà thơ đích thực âm thầm chuyển sang viết văn. Nhà thơ tò te giấu nhẹm những tập thơ in bằng tiền lương hưu nhưng chưa kịp biếu bạn bè. Người yêu thơ gom hết những tập thơ được tặng cất kỹ dưới đáy rương. Một cường quốc về thơ bỗng chốc tuột xuống vị thứ 193 trên toàn cầu, theo cách xếp hạng của NEF.

Xứ sở nào “khô khan” đến thế? Thưa, đó là Việt Nam sau những ngày “người người làm thơ, nhà nhà in thơ”, thơ ăn cắp, thơ đạo ý, thơ như , thơ ngô nghê, thơ ngọng nghịu lên ngôi đến mức khủng: một triệu tập thơ của các nhà thơ được in ra mỗi ngày. Vâng, thơ thành rác nên người ta xấu hổ không dám làm thơ nữa.

“Người kia gom hết thơ chất đầy một xe tải chở đến hiến cho xí nghiệp làm giấy”. “Một ông già treo cổ tự tử vì không tìm ra chỗ để in thơ”… Đó là những tin tức về mục Văn hóa văn nghệ trên các phương tiện thông tin đại chúng ngày nay.

Xin mời bạn đọc, nếu có hứng thú, cùng tôi viết tiếp kiểu hậu hiện đại này cho Việt Nam về các hiện trạng như mại dâm, phê bình văn học trung tâm – ngoại vi, dịch thi thố trên truyền hình và thi cử trong giáo dục, vân vân và vân vân, nhiều thứ lắm. Cùng tắc biến ấy mà.

 

Truyện 947 chữ của PHÙNG HI

Tuoitre.vn

 

Bạn có thể đóng góp mã nguồn cho một dự án nguồn mở ?


Can you contribute code to an open source project?
By Randy Metcalfe
Lời người dịch: Khi bạn, dù là cá nhân hay là một tổ chức, ví dụ như một trường cao đẳng hay đại học, tham gia vào cộng đồng phát triển phần mềm nguồn mở của một dự án nguồn mở cụ thể nào đó, ví dụ Moodle chẳng hạn, thì bạn sẽ rất cần quan tâm tới việc những đóng góp mã có bản quyền của bạn sẽ được quản lý như thế nào trong dự án đó. Rất có thể bạn sẽ nên ký một thỏa thuận giấy phép của người đóng góp trước khi thực hiện việc đóng góp mã của mình vào dự án đó. Hơn nữa, thực tế cũng sẽ chỉ ra rằng, ngoài vấn đề đó ra, thì sự đóng góp cho dự án là đứng sau tính bền vững của dự án, mà trước hết để thực hiện được nó, bạn sẽ thấy cần phải chuyển sang một mô hình phát triển mở.
Vì bạn đã viết một số mã
Bạn đã viết một số mã cho một dự án mà bạn từng đôi lúc đi theo. Bạn đang tham gia trong danh sách thảo luận thư điện tử của những người sử dụng. Bạn từng âm thầm đi theo trong danh sách thảo luận thư điện tử của các lập trình viên. Bạn đã tải về mã nguồn được thấy trong kho được xây dựng vào ban đêm, và bạn đã viết bản vá đầu tiên của bạn cho một vài tính năng của mã mà bạn nghĩ cần vọc.
Phần mềm là một tác phẩm có bản quyền
Mã nguồn đối với các ứng dụng phần mềm là một tác phẩm có bản quyền. Bản quyền nảy sinh ngay khi các ý tưởng được đặt vào trong một số vật trung gian cố định, nó có thể là giấy hay điện tử. Không gì đặc biệt cần phải được thực hiện cho mã để được bảo vệ bằng bản quyền.
Những người nắm giữ bản quyền có quyền bố trí tư liệu bản quyền của họ theo ý của họ. Điều này bao gồm việc cấp phép nó để được sử dụng theo những cách thức khác nhau.
Các dự án phần mềm nguồn mở (PMNM) phát hành mã nguồn theo các giấy phép được OSI chứng thực. Để bản vá của bạn được sử dụng trong dự án, nó cũng có thể cần phải được cấp phép theo cùng giấy phép đó. Bạn có thể hoàn tất điều đó hoặc bằng các cách sau:
  • kỹ về bản quyền trong mã cho dự án; hoặc
  • cấp phép cho mã để sử dụng trong dự án theo một giấy phép phù hợp
Một số dự án khăng khăng chỉ định bản quyền. Điều đó nhất định làm cho mọi điều dễ dàng hơn cho họ sau này khi họ cần làm việc với các vấn đề về cấp phép. Đó chỉ là một trong một số khả năng.
Hầu hết các dự án chỉ yêu cầu rằng bạn cấp phép mã mà bạn muốn đóng góp theo một giấy phép tương thích với giấy phép của dự án.
Trong cả 2 trường hợp, ràng buộc y hệt áp dụng; chỉ người nắm giữ bản quyền có sức mạnh hoặc tái chí định quyền của họ hoặc cấp phép cho tư liệu bản quyền của họ.
Bạn có quyền cấp phép cho tư liệu bản quyền này không?
Bạn có phải là người nắm giữ bản quyền không?
Hầu hết các nhân viên trong thực tế không phải là những người nắm giữ bản quyền đối với tư liệu có bản quyền được sinh ra như một phần công việc của họ. Điều này sẽ khác từ cơ quan này tới cơ quan khác, và có thể giữa các vai trò công việc trong một cơ quan. Xin lưu ý: đã viết mã này ở nhà sẽ không, bản thân nó, chỉ ra rằng bạn nắm giữ bản quyền về nó; bạn vẫn cần kiểm tra các điều khoản làm việc của bạn.
Liệu bạn có là người nắm giữ bản quyền đối với tư liệu như vậy hay không nên được nói ra theo các điều khoản làm việc của bạn. Nếu bạn không thể thấy bất kỳ thứ gì ở đó, thì bạn có thể muốn kiểm tra bất kỳ chính sách nào của cơ quan, như một chính sách các Quyền Sở hữu Trí tuệ, nó được tham chiếu trong hợp đồng làm việc của bạn.
Bạn phải thiết lập xem ai là người nắm giữ bản quyền trước khi bạn đi bất kỳ đâu xa hơn (và lý tưởng trước khi bạn thậm chí có điều này xa hơn).
Trên thực tế bạn có phải là người nắm giữ bản quyền không?
Nếu bạn là người nắm giữ bản quyền
Nếu bạn trong thực tế là người nắm giữ bản quyền đối với tư liệu có bản quyền mà bạn đã tạo ra, thì xin chúc mừng! Bạn có thể làm gì bạn muốn với sở hữu trí tuệ của riêng bạn. Điều này bao gồm việc cấp phép nó để được sử dụng trong một dự án nguồn mở. Bạn có thể thậm chí muốn chỉ định bản quyền của bạn cho dự án theo yêu cầu, hoặc cho tổ chức bảo trợ (như Quỹ Phần mềm Tự do – FSF) mà đang đỡ đầu cho dự án.
Bạn thậm chí có quyền cấp phép đôi cho mã nguồn của bạn nếu bạn muốn. Điều này có thể xảy ra nếu bạn định cấp phép cho nó cho một người hoặc nhóm theo một giấy phép này và cấp phép nó cùng một lúc cho người khác hoặc nhóm khác theo một giấy phép khác. Điều này là có khả năng vì người nắm giữ bản quyền có thể làm bất kỳ điều gì mà họ muốn với từ liệu có bản quyền của họ.
Nếu bạn không phải là người nắm giữ bản quyền
Nếu bạn không phải là người nắm giữ bản quyền thì bạn phải có được sự đồng ý của người nắm giữ bản quyền đối với bất kỳ điều gì bạn muốn làm với tư liệu có bản quyền. Thường thì điều này được nói ra trong các điều khoản làm việc của bạn.
Để đóng góp bản vá của bạn cho dự án nguồn mở trong trường hợp ví dụ của chúng tôi, người nắm giữ bản quyền cần phải đồng ý rõ ràng cho sự đóng góp của bạn đối về sở hữu trí tuệ của nó. Hơn nữa, đáng lưu ý là điều này không có hiệu ứng nào lên bản thân bản quyền cả.
Mã được đóng góp cho các dự án nguồn mở thường giữ lại bản quyền của người nắm giữ bản quyền gốc ban đầu. Để đăng ký bản quyền tác giả của bạn cho cơ quan của bạn, một qui trình chính thống hơn nhiều có thể cần thiết để được bắt đầu. Thường thì điều này có liên quan tới các tài liệu pháp lý cần thiết phải được thay đổi, truyền bản quyền từ bên này sang bên khác. Điều này có thể là một qui trình phiền hà. Kết quả là nó rất hãn hữu trong thiết lập ở các trường cao đẳng và đại học.
Nhưng thậm chí nếu bản quyền không được tái chỉ định, thì sự đồng ý phải giành được trước khi mã có thể được đóng góp cho dự án. Hơn nữa, trong một dự án được quản lý tốt thì bạn sẽ được yêu cầu cung cấp sự đồng ý này ở dạng của một thỏa thuận giấy phép của người đóng góp.
Làm thế nào bạn có được sự đồng ý của đại học và cao đẳng của bạn để đóng góp tư liệu có bản quyền của họ cho một dự án nguồn mở?
Đi đâu trước: lãnh đạo phòng của bạn
Hầu như chắc chắn con đường của bạn sẽ đưa bạn qua bất kể sự giám sát sở hữu trí tuệ nào đối với tổ chức của bạn. Ví dụ nếu bạn làm việc ở UK HE, có khả năng sẽ là các dịch vụ pháp lý, các dịch vụ nghiên cứu, và có khả năng là đơn vị chuyển giao công nghệ của cơ quan bạn. Nhưng nơi đầu tiên để bắt đầu là với lãnh đạo hoặc người đứng đầu phòng của bạn.
Nếu bạn may mắn, thì người quản lý của bạn hoặc người lãnh đạo phòng bạn sẽ từng được ủy quyền sức mạnh để quyết định những vấn đề như vậy. Có một ví dụ tốt về điều này xảy ra tại đơn vị các Dịch vụ Điện toán Đại học Oxford.
Nếu bạn không được may mắn cho lắm, thì người quản lý bạn hoặc người đứng đầu phòng của bạn có thể không có được ủy quyền này nhưng ít nhất sẽ biết tập các bước chính thức phải được thực hiện trong tổ chức của bạn để đạt được sự đồng ý của nó để đóng góp bản vá của bạn cho một dự án nguồn mở.
Điều này có thể sẽ có nghĩa là việc tiếp cận phòng các dịch vụ pháp lý tổ chức của bạn. Họ có thể thường cần một sự xác minh từ một vài đơn vị độc lập, như đơn vị chuyển giao công nghệ, như đối với giá trị có thể của sở hữu trí tuệ theo yêu cầu và bất kỳ trách nhiệm pháp lý nào mà cơ quan đó có thể chịu như là kết quả của sự phát hành này đối với IPR của nó.
Đáng tiếc là các bước có liên quan có thể là vô số, và hầu như không thể tránh khỏi là dị thường đối với tổ chức của bạn. Họ cũng không đảm bảo rằng sự đồng ý sẽ sớm đến.
Cách thức tốt hơn
Các tổ chức có suy nghĩ sớm nhận thức được rằng những đóng góp mã, dù ở dạng các bản vá hay thậm chí ở dạng các module đáng kể hơn, là một phần của những gì được đi theo bằng sự tham gia mang nặng tính cơ quan với nguồn mở. Nhưng làm thế nào họ tạo thuận lợi nhất cho qui trình này?
Ví dụ, khi Đại học Mở từng bắt tay vào lựa chọn Moodle như là môi trường học ảo (VLe) trong tương lai của mình, nó cũng đã thiết lập cách mà nó có thể tham gia với sự phát triển đang diễn ra của Moodle. Kết quả là một đầu tư đáng kể, nhưng có định lượng và bao hàm trong sự phát triển nguồn mở. Sự đóng góp của Đại học Mở về sở hữu trí tuệ của nó cho dự án Moodle không chỉ làm cho Moodle mạnh hơn. Nó đứng ra như một ví dụ về thực tiễn tốt trong sự cam kết của viện trường với cộng đồng nguồn mở.
Một ví dụ khác là cách mà Đại học Cambridge bắt đầu tham gia vào chương trình đối tác của Sakai. Trong những giai đoạn đầu của Sakai, trọng tâm chính là về việc tạo ra một khung hành chính cho nhóm các viện trường giáo dục có liên quan trong dự án. Mục tiêu chính là để đảm bảo rằng các phát hành phần mềm được sản xuất đúng thời điểm và tuân theo danh sách các ưu tiên được đồng thuận. Tuy nhiên trong một số dự án thí điểm của Sakai thì đã trở nên rõ ràng rằng sự đóng góp có điều phối của các viện trường cho sự phát triển mã chỉ là thứ yếu so với tính bền vững tổng thể của dự án. Cambridge và các đối tác khác đã hiểu được rằng việc xây dựng một cộng đồng xung quanh mã được chia sẻ thực sự là quan trọng hơn, và như là kết quả của những nỗ lực của họ theo đường hướng này, dự án đã chuyển sang một mô hình phát triển mở nhiều hơn.
Có những ví dụ khác về sự tham gia của các viện trường tương tự đang diễn ra trong các trường cao đẳng và đại học khắp nước Anh. Chúng tôi vui mừng để bổ sung ví dụ của bạn vào bài viết này. Xin hãy viết cho chúng tôi theo info@oss-watch.ac.uk và nói cho chúng tôi biết về điều đó.
So you’ve written some code
You’ve written some code for a project that you’ve been following for some time. You are participating on the users email discussion list. You have been quietly following the developers email discussion list. You have downloaded the source code found in the nightly build repository, and you have written your first patch for some feature of the code that you think needs tweaking.
Can you contribute this patch to the project?
Software is a copyright work
Source code for software applications is a copyright work. The copyright arises as soon as the ideas are placed in some fixed medium, which could be paper or electronic. Nothing special needs to be done for the code to be protected by copyright.
Copyright holders have the right to dispose of their copyright material as they see fit. This includes licensing it to be used in a variety of ways.
Open source software projects release their source code under OSI-certified licences. In order for your patch to be used in the project, it too would need to be licenseable under the same licence. You could accomplish that by either:
  • signing over the copyright in the code to the project; or
  • licensing the code for use in the project under an appropriate licence
Some projects insist upon the assignment of copyright. That certainly makes things easier for them later when they need to deal with licensing matters. That is just one of a number of possibilities.
Most projects merely require that you license the code you wish to contribute under a licence compatible with the project’s licence.
In either case, the same constraint applies: only the copyright holder has the power to either reassign their copyright or license their copyright material.
Do you have the right to license this copyright material?
Are you the copyright holder?
Most employees are not in fact the copyright holders for copyright material that is generated as part of their work. This will vary from institution to institution, and possibly between job roles within an institution. Please note: having written this code at home will not, by itself, indicate that you hold the copyright on it; you still need to check your terms of employment.
Whether you are the copyright holder for such material should be spelled out in your terms of employment. If you cannot find anything there, you may want to check any institutional policies, such as an Intellectual Property Rights policy, that are referenced by your employment contract.
You must establish who the copyright holder is before you go any further (and ideally before you’ve even got this far).
Are you in fact the copyright holder?
If you are the copyright holder
If you are in fact the copyright holder for the copyright material that you have generated, congratulations! You can do what you wish with your own intellectual property. This includes licensing it to be used in an open source project. You may even wish to assign your copyright to the project in question, or to the umbrella organisation (such as the Free Software Foundation) that is sponsoring the project.
You even have the right to dual license your code should you wish. This would occur if you were to license it to one person or group under one licence and license it at the same time to another person or group under a different licence. This is possible because the copyright holder can do anything they wish with their copyright material.
If you are not the copyright holder
If you are not the copyright holder then you must have the consent of the copyright holder for anything you wish to do with their copyright material. Often this is spelled out in your terms of employment.
In order to contribute your patch to the open source project in our example case, the copyright holder needs to explicitly consent to your contribution of its intellectual property. Moreover, it is worth noting that this has no effect upon the copyright itself.
Code contributed to open source projects often remains the copyright of the original copyright holder. In order to sign over your institution’s copyright, a much more formal process would need to be started. This usually involves legal documents needing to be exchanged, passing the copyright from one party to another. This can be an onerous process. As a result it is much more rare in the college and university setting.
But even if copyright is not being reassigned, consent must be obtained before the code can be contributed to the project. Furthermore, in a well managed project you will be required to provide this consent in the form of a contributor licence agreement.
How do you get the consent of your college or university to contribute their copyright material to an open source project?
Where to go first: the head of your department
Almost certainly your route is going to take you through whoever oversees intellectual property for your organisation. For example if you work in UK HE, that is likely to be legal services, research services, and possibly your institution’s technology transfer unit. But the first place to start is with your manager or department head.
If you are in luck, your manager or department head will have been delegated the power to decide such matters. There is a good example of this occurring at Oxford University Computing Services.
If you are slightly less lucky, your manager or department head may not have this delegated authority but at least will know the official set of steps that must be taken within your organisation in order to achieve its consent to contribute your patch to an open source project.
This will probably mean approaching your organisation’s legal services department. They would usually need a determination from some independent body, such as the technology transfer unit, as to the probable value of the intellectual property in question and any liability that the institution may be incurring as a result of this release of its IPR.
Regrettably the steps involved may be numerous, and are almost inevitably peculiar to your organisation. Nor do they guarantee that consent will be forthcoming.
A better way
Forward thinking institutions recognise that contributions of code, whether in the form of patches or even more substantial modules, are part of what is entailed by robust institutional engagement with open source. But how can they best facilitate this process?
For example, when the The Open University embarked upon the choice of Moodle as its future virtual learning environment (VLE), it also established how it would engage with Moodle’s ongoing development. The result is a substantial, but quantified and contained, investment in open source development. The Open University’s contribution of its intellectual property to the Moodle project doesn’t merely make Moodle stronger. It stands as an example of good practice in institutional engagement with the open source community.
Another example is the way University of Cambridge became involved in the Sakai partnership program. In the early stages of Sakai the main focus was on creating an administrative framework for the consortium of educational institutions involved in the project. The main aim was to ensure that the software releases were produced on time and according to an agreed list of priorities. However during a number of Sakai pilots it became evident that coordinating institutional contribution to the development of the code was only secondary to the overall sustainability of the project. Cambridge and other partners understood that building a community around the shared code was actually more important, and as a result of their efforts in this direction the project moved to a more open development model.
Dịch: Lê Trung Nghĩa

 

Free và Open với triết lý quả trứng gà


 

 

  • Mục đích Hiểu thêm về Free và Open trong FOSS
  • Dành cho Người quan tâm đến FOSS
  • Mức độ Cơ bản
Hôm nay, khi tôi đang dùng điểm tâm trong nhà hàng quen thuộc thì bỗng chú ý đến một thông báo trên tường, ghi rằng:Free Range Eggs, $4.00 per dozen. (Trứng gà thả vườn, 4 đô-la một tá).

Lúc đó, ngay lập tức tôi có một phản ứng không tránh khỏi với từ “Free”, nghĩ ngay đến khái niệm “không mất tiền”. Sau đó tôi chợt nhận ra là từ “Free” có liên quan đến từ “Range”, chứ không phải là giá của những quả trứng.

Tôi nói chuyện này với chủ nhà hàng, đề nghị bà đổi cái thông báo đó thành “Open Range Eggs”, cách này sẽ tránh làm cho người khác nghĩ là những quả trứng không mất tiền. “Điều này thật ngớ ngẩn,” bà chủ nói, “mọi người đều gọi chúng là ‘Free Range Eggs’. Mọi người đều biết những con gà cảm thấy hạnh phúc hơn khi được chạy bất cứ chỗ nào chúng muốn chạy, bới chỗ nào chúng muốn bới, nói chung là được tự do làm bất cứ gì chúng muốn. Và người ta cũng sẵn sàng trả tiền nhiều hơn cho những quả trứng gà loại này”.

Bà chủ tiếp tục nói là những quả trứng “Free Range” kiểu này sẽ có giá cao hơn là trứng của gà nhốt trong chuồng chật hẹp theo kiểu nuôi công nghiệp, vì bạn phải đi thu nhặt trứng, phải rào khu nuôi trên diện tích rộng hơn, … nhưng mọi người đều thừa nhận là trứng gà thả vườn như vậy tốt hơn, ngon hơn, và họ sẵn sàng trả thêm tiền để mua.

Cuối cùng bà hỏi tôi sao lại đề nghị đổi thành “Open Range Eggs”, và tôi trả lời là, như vậy chỉ để tránh gây hiểu lầm cho những người nghĩ rằng trứng gà là miễn phí. “Tôi không dính dáng gì đến những loại người đó”, bà chủ cửa hàng nói. “Bọn họ chỉ muốn kiếm lý do để không phải trả tiền trứng. Hầu hết mọi người đều biết là những con gà phải được cho ăn, những người đi nhặt trứng cũng phải được trả công, còn phải trả tiền để sưởi ấm cho chuồng gà mái và vận chuyển trứng cũng phải tốn tiền. Một số người giúp đỡ chúng tôi, vì vậy họ nhận một số trứng để đổi lại công việc của họ, nhưng chúng tôi phải tính tiền cho những quả trứng của mình để bán chứ. Ai mà không nhận thức được điều đó chỉ là họ không muốn hiểu cụm từ ‘Free Range’ thực sự có nghĩa là những quả trứng tốt hơn, và thay đổi cụm từ này sẽ chẳng thể giúp gì được. Do đó chúng tôi chỉ tiếp tục giảng nghĩa cụm từ ‘Free Range’ cho người mua trứng, chứ sẽ không thay đổi nó.

Do đó, chúng ta sẽ tiếp tục giảng nghĩa về Free Software và ai muốn hiểu nó, sẽ hiểu ngay lập tức.

 Với những ai không muốn hiểu khái niệm của Free Software sẽ không bao giờ hiểu nó.

Có ai muốn dùng trứng không nào?

Đông Thao dịch từ nguồn: Free Range, not Free Beer – Jon maddog Hall

Nguồn ảnh: Picasa

http://kythuatmaytinh.wordpress.com/2008/01/25/free-va-open-v%E1%BB%9Bi-tri%E1%BA%BFt-ly-qu%E1%BA%A3-tr%E1%BB%A9ng-ga/#more-163

 

Cuộc sống không giới hạn: Chấp nhận bản thân


 

 

Làm an toàn thông tin thì học gì ?


By thaidn | Published: 02/05/2012 |

 

1 Giới thiệu

Tôi nhận được thư từ của nhiều bạn hỏi về việc nên học gì và như thế nào để có thể tìm được việc làm và làm được việc trong ngành an toàn thông tin (information security). Tôi nghĩ việc đầu tiên bạn cần phải làm là in toàn bộ bài viết “Làm thế nào để trở thành white hat hacker” ra giấy, nhưng đừng đọc, mà hãy để chúng trong toilet khi nào cần thì xài dần.

Quay trở lại câu hỏi. An toàn thông tin là một ngành rộng lớn với rất nhiều lĩnh vực. Những gì tôi biết và làm được chỉ gói gọn trong một hai lĩnh vực. Có rất nhiều mảng kiến thức cơ bản mà tôi không nắm vững và cũng có nhiều kỹ năng mà tôi không thạo. Hack tài khoản Yahoo! Mail là một trong số đó. Tôi cũng không biết cách tìm địa chỉ IP của bạn chat  .

Xét theo năm mức ngu dốt thì tôi nằm ở mức “1OI – thiếu kiến thức” ở hầu hết các lĩnh vực trong an toàn thông tin. Cũng có lĩnh vực tôi nằm ở mức “2OI – thiếu nhận thức”. Nhiều lần đọc sách vở hoặc nói chuyện với đồng nghiệp, tôi hay nhận ra rằng có nhiều thứ tôi không biết là tôi không biết. Theo ý của anh Ngô Quang Hưng thì đây là chuyện bình thường:

Dân máy tính thường phải đọc/học rất nhiều để theo kịp sự phát triển với tốc độ ánh sáng của ngành mình. Trong quá trình này, với mỗi vấn đề X của ngành, ta sẽ chuyển dần dần từ 3OI xuống 1OI. Sau đó, nếu X là cái mà ta thật sự thích hoặc cần cho công việc thì sẽ chuyển nó lên 0OI.

Rất nhiều sinh viên và nghiên cứu sinh KHMT ở mức 3OI khi mới bắt đầu đi học. Sau đó họ tìm hiểu về quá trình nghiên cứu, quá trình tìm các vấn đề và hướng nghiên cứu mới, quá trính cập nhật kiến thức về ngành của mình, và chuyển dần các thứ lên 2OI. Để có một quá trình hiệu quả từ 3OI lên 2OI không dễ chút nào. Ví dụ đơn giản: các journals, conference nào trong ngành mình là có giá trị, làm thế nào để tìm đọc các bài trong chúng, phương pháp lọc bài đọc thế nào, vân vân.

Tôi thấy anh Hưng nói có lý, nên mục tiêu chính của bài viết này là cung cấp một quá trình hiệu quả để bớt ngu về an toàn thông tin.

2 Làm an toàn thông tin là làm gì?

Tôi muốn viết phần này vì nhiều người tưởng tôi làm bảo vệ khi tôi nói tôi làm security. Ngoài ra có lẽ là do thị trường việc làm an toàn thông tin ở Việt Nam không phong phú nên hầu hết đều nghĩ rằng làm an toàn thông tin nghĩa là đảm bảo an toàn hệ thống mạng (network/system security), trong khi thực tế đây chỉ là một trong số rất nhiều công việc trong ngành.

Trong bốn phần nhỏ tiếp theo, tôi sẽ giới thiệu bốn nhóm công việc chính trong ngành. Đối với mỗi nhóm công việc, tôi sẽ bàn một chút về triển vọng nghề nghiệp ở Việt Nam và Mỹ, hai nơi mà tôi có dịp được quan sát. Nếu bạn không biết bạn thích làm gì thì cứ chọn một công việc rồi làm thử. Các công việc này đều có liên quan nhau, nên kiến thức mà bạn học được trong quá trình thử vẫn hữu ích cho những nghề khác.

2.1 An toàn sản phẩm (product security)

Công việc chính của nhóm này là làm việc với các đội phát triển sản phẩm để đảm bảo sản phẩm làm ra an toàn cho người dùng và an toàn cho hệ thống của công ty, cụ thể là:

  • Kiểm định mã nguồn và thiết kế của sản phẩm
  • Phát triển các giải pháp kỹ thuật và quy trình phát triển phần mềm an toàn để phát hiện và ngăn chặn những kỹ thuật tấn công đã biết
  • Đào tạo nhân lực để nâng cao nhận thức về an toàn thông tin cũng như kỹ năng viết mã an toàn
  • Nghiên cứu các hướng tấn công mới có thể ảnh hưởng hệ thống sản phẩm và dịch vụ của công ty

Tóm gọn lại thì nhóm này chuyên tìm lỗ hổng và kỹ thuật tấn công mới. Đây là công việc của tôi và tôi thấy đây là công việc thú vị nhất trong ngành  .

Ở Mỹ thì thông thường thì chỉ có các hãng có phần mềm và dịch vụ lớn như Facebook, Google, Microsoft, Oracle, v.v. hay các tập đoàn tài chính ngân hàng lớn mới có đội ngũ tại chỗ để đảm nhiệm công việc này. Các công ty nhỏ thường chỉ thuê dịch vụ của các công ty tư vấn. IBM và Big Four đều có cung cấp dịch vụ tư vấn này. Dẫu vậy nếu được chọn lựa thì tôi sẽ chọn làm cho các công ty chuyên sâu như Matasano, iSec, Leviathan, Gotham, IOActive, Immunity, v.v.

Ở Việt Nam thì thị trường việc làm cho người làm an toàn sản phẩm có vẻ ảm đạm hơn. Cho đến nay tôi biết chỉ có một vài công ty ở Việt Nam là có nhân viên chuyên trách lĩnh vực này. Các công ty khác (nếu có quan tâm đến an toàn thông tin) thì hầu như chỉ tập trung vào an toàn vận hành. Các công ty tư vấn an toàn thông tin ở Việt Nam cũng không tư vấn an toàn sản phẩm, mà chỉ tập trung tư vấn chung chung về các quy trình và tiêu chuẩn an toàn thông tin.

2.2 An toàn vận hành (operations security)

Công việc chính của nhóm này là đảm bảo sự an toàn cho toàn bộ hệ thống thông tin của doanh nghiệp, với ba nhiệm vụ chính:

  • Ngăn chặn: đưa ra các chính sách, quy định, hướng dẫn về an toàn vận hành; kiện toàn toàn bộ hệ thống thông tin, từ các vành đai cho đến máy tính của người dùng cuối; cấp và thu hồi quyền truy cập hệ thống; quét tìm lỗ hổng trong hệ thống, theo dõi thông tin lỗ hổng mới và làm việc với các bên liên quan để vá lỗi, v.v.
  • Xử lý: phản hồi (incident response) và điều tra số (digital forensics) khi xảy ra sự cố an toàn thông tin, từ tài khoản của nhân viên bị đánh cắp, rò rỉ thông tin sản phẩm mới cho đến tấn công từ chối dịch vụ.

Đây là công việc khó nhất, nhưng lại ít phần thưởng nhất của ngành an toàn thông tin.

Tương tự như trên, chỉ có các hãng lớn của Mỹ mới có đội ngũ tại chỗ để phụ trách toàn bộ khối lượng công việc đồ sộ này, nhất là mảng xử lý và điều tra. Đa số các công ty chỉ tập trung vào ngăn chặn và sử dụng dịch vụ của bên thứ ba cho hai mảng còn lại. Các hãng như Mandiant, Netwitness hay HBGary cung cấp dịch vụ điều tra các vụ xâm nhập và có rất nhiều hãng khác cung cấp dịch vụ giám sát an ninh mạng.

Ở Việt Nam thì thị trường việc làm cho người làm an toàn vận hành tương đối phong phú hơn so với an toàn sản phẩm. Các công ty và tổ chức tài chính lớn đều có một vài vị trí chuyên trách về an toàn vận hành. Đa số người làm về an toàn thông tin ở Việt Nam mà tôi biết là làm trong lĩnh vực này. Dẫu vậy hầu như chưa có ai và công ty tư vấn nào làm về phản hồi và điều tra sự cố.

2.3 Phát triển công cụ (applied security)

Công việc chính của nhóm này là phát triển và cung cấp các công cụ, dịch vụ và thư viện phần mềm có liên quan đến an toàn thông tin cho các nhóm phát triển sản phẩm sử dụng lại.

Nhóm này bao gồm các kỹ sư nhiều năm kinh nghiệm và có kiến thức vững chắc về an toàn thông tin, viết mã an toàn và mật mã học. Họ phát triển các thư viện và dịch vụ dùng chung như phân tích mã tĩnh – phân tích mã động (static – dynamic code analysis), hộp cát (sandboxing), xác thực (authentication), kiểm soát truy cập (authorization), mã hóa (encryption) và quản lý khóa (key management), v.v.

Đây là dạng công việc dành cho những ai đang viết phần mềm chuyên nghiệp và muốn chuyển qua làm về an toàn thông tin. Đây cũng là công việc của những người thích làm an toàn sản phẩm nhưng muốn tập trung vào việc xây dựng sản phẩm hơn là tìm lỗ hổng.

Rõ ràng loại công việc này chỉ xuất hiện ở các công ty phần mềm lớn. Ở các công ty phần mềm nhỏ hơn thì các kỹ sư phần mềm thường phải tự cáng đáng công việc này mà ít có sự hỗ trợ từ nguồn nào khác. Ở Việt Nam thì tôi không biết có ai làm dạng công việc này không.

2.4 Tìm diệt mã độc và các nguy cơ khác (threat analysis)

Ngoài an toàn sản phẩm ra thì đây là một lĩnh vực mà tôi muốn làm. Công việc chính của nhóm này là phân tích, truy tìm nguồn gốc và tiêu diệt tận gốc mã độc và các tấn công có chủ đích (targeted attack). Mã độc ở đây có thể là virút, sâu máy tính, hay mã khai thác các lỗ hổng đã biết hoặc chưa được biết đến mà phần mềm diệt virút thông thường chưa phát hiện được. Các loại mã độc này thường được sử dụng trong các tấn công có chủ đích vào doanh nghiệp.

Tôi nghĩ rằng sau hàng loạt vụ tấn công vừa rồi thì chắc hẳn các công ty lớn với nhiều tài sản trí tuệ giá trị đều muốn có những chuyên gia trong lĩnh vực này trong đội ngũ của họ. Ngoài ra các công ty chuyên về điều tra và xử lý sự cố như Mandiant, HBGary hay Netwitness mà tôi đề cập ở trên đều đang ăn nên làm ra và lúc nào cũng cần người. Các công ty sản xuất phần mềm diệt virút dĩ nhiên cũng là một lựa chọn.

Ở Việt Nam thì tôi nghĩ hầu hết doanh nghiệp vẫn chưa thấy được nguy cơ đến từ các cuộc tấn công có chủ đích, thành ra họ sẽ không tuyển người chuyên trách vấn đề này. Tôi cũng không biết có công ty tư vấn nào ở Việt Nam chuyên về điều tra và xử lý sự cố hay không. Tôi nghĩ lựa chọn khả dĩ nhất cho những người thích mảng công việc này là các công ty phần mềm diệt virút.

Tuy nhiên cũng cần lưu ý rằng trong vài năm gần đây ở Việt Nam còn xuất hiện những loại mã độc nhắm vào đông đảo người dùng máy tính bình thường. Vấn nạn này có lẽ sẽ còn kéo dài trong nhiều năm tới và lẽ đương nhiên “phe ta” lúc nào cũng cần thêm những chiến sĩ lành nghề như anh TQN. Thành ra dẫu triển vọng nghề nghiệp không sáng sủa cho lắm, nhưng tôi rất hi vọng sẽ ngày càng nhiều người tham gia vào việc phân tích các mã độc nhắm vào người dùng máy tính ở Việt Nam. Đối với tôi họ là những người hùng thầm lặng, chiến đấu đêm ngày với các “thế lực thù địch” để bảo vệ tất cả chúng ta.

3 Học như thế nào?

Đa số những bạn viết thư cho tôi đều đang học đại học ngành CNTT và tất cả đều than rằng chương trình học quá chán, không có những thứ mà các bạn muốn học. Tôi nghĩ đây là một ngộ nhận.

Hối tiếc lớn thứ nhì trong sự nghiệp học tập mấy chục năm của tôi là đã không học nghiêm túc khi còn là sinh viên (hối tiếc lớn nhất là tôi đã không nghỉ hẳn, nhưng đó là một câu chuyện dài khác). Tôi cũng đã nghĩ rằng chương trình học ở đại học là lạc hậu và không cần thiết. Bây giờ nhìn lại thì tôi thấy nội dung và cách dạy của từng môn học thì đúng là lạc hậu (chỉ có mấy môn triết học Mác-Lênin là bắt kịp ánh sáng thời đại), nhưng toàn bộ giáo trình đại học vẫn cung cấp được một cái sườn kiến thức rất cần thiết cho một kỹ sư an toàn thông tin.

Ở đại học người ta có cách tiếp cận top-down, nghĩa là dạy từ đầu đến cuối những kiến thức nằm trong chương trình. Điều này dễ dẫn đến tình trạng là người học phải học những kiến thức mà họ không thấy cần thiết. Nếu chương trình học cũ kỹ và không có nhiều thực hành, hoặc người dạy không chỉ ra được bức tranh toàn cảnh, vị trí hiện tại của người học và bước tiếp theo họ nên làm là gì thì người học sẽ dễ cảm thấy rằng họ đang phí thời gian học những kiến thức vô bổ.

Trong khi khi đi làm thì cách tiếp cận là bottom-up, nghĩa là lao vào làm, thấy thiếu kiến thức chỗ nào thì học để bù vào chỗ đó. Lúc này tôi hoàn toàn chủ động trong việc học và tôi cũng hiểu rõ tôi cần học cái gì và tại sao. Điều thú vị là mỗi khi truy ngược lại nguồn gốc của những kiến thức tôi cần phải có, tôi thường thấy chúng nằm trong chương trình đại học.

Ví dụ như tôi muốn luyện kỹ năng dịch ngược mã phần mềm (reverse code engineering – RCE) thì tôi thấy rằng tôi cần phải có kiến thức về tổ chức và cấu trúc máy tính. Hoặc nếu tôi muốn học về mật mã học thì tôi phải học lý thuyết tính toán, mà khởi nguồn là lý thuyết automata. Nhưng tại sao trước đó tôi cũng đi làm nhưng không thấy được những lỗ hổng kiến thức này? Tôi nghĩ là do tôi làm không đủ sâu. Ví dụ như nếu bạn suốt ngày chỉ lập trình PHP thì bạn sẽ không thể hiểu được tại sao phải nắm vững tổ chức và kiến trúc máy tính. Hoặc giả như công việc của bạn là sysadmin thì cũng sẽ rất khó để bạn thấy được tại sao cần phải học lý thuyết automata.

Những gì tôi nói lan man ở trên có thể tóm gọn lại thế này:

  • Học dựa theo chương trình đại học. Nếu bạn đang học đại học các ngành công nghệ thông tin, khoa học máy tính hay toán tin thì nên tập trung vào việc học các môn trong trường. Các học liệu trong phần 4 cũng được soạn theo các đại học lớn trên thế giới.
  • Học kiến thức căn bản thật vững (cái gì là căn bản thì xem phần 4), những món còn lại khi nào cần (căn cứ vào nhu cầu công việc) thì hẵng học.
  • Tìm dự án lề (side project) mà bạn thích để làm để có thể nhanh chóng nhận ra những mảng kiến thức còn thiếu.
  • Thời điểm tốt nhất để học một cái gì đó là khi bạn đang là sinh viên. Thời điểm tốt thứ hai là ngay bây giờ!

Các lớp mà tôi liệt kê trong phần 4 đa số là của đại học Stanford. Bạn không cần phải đến tận nơi, ngồi trong lớp mới có thể học được. Tôi thấy trong nhiều trường hợp thì bạn chỉ cần đọc lecture notes, sách giáo khoa mà lớp sử dụng rồi làm bài tập đầy đủ thì vẫn sẽ tiếp thu đủ kiến thức. Một số lớp mà tôi liệt kê dưới đây được dạy miễn phí rộng rãi trên Coursera.Bạn có thể tham khảo chương trình SCPD nếu muốn học chung với các sinh viên Stanford khác. Đây là chương trình học từ xa thông qua video. Buổi sáng lớp diễn ra thì buổi chiều bạn đã có video để xem. Thi cử như các sinh viên chính quy khác và điểm phải trên B mới được học tiếp. Đây là chương trình mà tôi theo học. Điểm thú vị là mỗi học kỳ bạn chỉ cần lấy một lớp, nhưng Stanford vẫn sẽ cho bạn xem video của tất cả các lớp khác.

Ngoài Stanford và Coursera ra, bạn cũng có thể tham khảo các lớp trên UdacityOCW và MITx. Khi tôi đang viết những dòng này thì MIT và Harvard công bố dự án edX. Chúng ta đang sống trong một thời đại cực kỳ thú vị! Bây giờ chỉ cần bạn chịu học thì muốn học cái gì cũng có lớp và học liệu miễn phí. Nhưng mà học cái gì bây giờ?

4 Học cái gì?

Có ba món quan trọng cần phải học: lập trình, lập trình và lập trình! Để làm việc được trong ngành này, bạn phải yêu thích lập trình. Không có cách nào khác. Thề luôn!

Tôi dành khá nhiều thời gian tìm hiểu giáo trình khoa học máy tính của các trường đại học lớn trên thế giới và tôi thấy tất cả các môn học đều có phần bài tập là lập trình. Học cái gì viết phần mềm cho cái đó. Học về hệ điều hành thì phần bài tập là viết một hệ điều hành. Học về mạng thì viết phần mềm giả lập router, switch hay firewall. Cá nhân tôi cũng thấy rằng lập trình là cách tốt nhất để tiếp thu kiến thức một môn học nào đó, biến nó thành của mình. Nói cách khác, lập trình là một cách mã hóa tri thức khá hiệu quả.

Ngoài ra nhìn vào mô tả công việc ở phần 2, bạn cũng có thể thấy kỹ năng lập trình quan trọng đến dường nào, bởi hầu hết các vấn đề và giải pháp của an toàn thông tin là đến từ phần mềm. Rõ ràng muốn tìm lỗi của phần mềm thì bạn phải hiểu được phần mềm thông qua mã nguồn trực tiếp hay trung gian của nó. Rất có thể bạn sẽ không phải lập trình hàng ngày, nhưng bạn phải viết được những công cụ nhỏ hay những thư viện hỗ trợ cho công việc và các lập trình viên khác.

Vậy làm thế nào để lập trình giỏi? Câu hỏi này làm tôi nhớ đến câu chuyện cười về ông lập trình viên không thể ra khỏi phòng tắm vì trên chai dầu gội có ghi hướng dẫn sử dụng là “cho vào tay, xoa lên đầu, xả nước và lập lại”. Từ khóa trong câu chuyện này là “lập lại”: muốn giỏi lập trình thì cách tốt nhất là lập trình nhiều vô!

Nhưng mà lập trình bằng ngôn ngữ gì bây giờ? Đây là câu hỏi dễ làm cho các lập trình viên oánh nhau nhất  . Cá nhân tôi thấy rằng người làm an toàn thông tin bây giờ cần phải thông thạo C, x86 Assembly, Python (hoặc Ruby) và JavaScript. Tôi có nói lý do tại sao trong phần giới thiệu sách tiếp theo.

Lập trình

  • Brian Kernighan, Dennis Ritchie, The C Programming Language (2nd Edition): kinh điển và phải-đọc cho tất cả những ai muốn học C! Linus Torvalds từng nói rằng “[…] all right-thinking people know that (a) K&R are _right_ and (b) K&R are right“. Tôi đã từng rất sợ C (vì nghĩ nó phức tạp), và cuốn này giúp tôi không còn sợ nữa.
  • Randal Bryant, David O’Hallaron, Computer Systems: A Programmer’s Perspective: cuốn này được dùng cho lớp CS107. Đọc cuốn này và làm bài tập của lớp CS107 sẽ rèn cho bạn kỹ năng lập trình C và x86 Assembly. Sau khi đọc cuốn này, bạn sẽ biết tại sao có lỗi tràn bộ đệm và cách khai thác chúng. Tôi rất thích các chương nói về x86 và sự liên kết giữa các công cụ như preprocessor, compiler và linker.
  • David Hanson, C Interfaces and Implementations: muốn mau “lên cơ” bida thì phải thường xuyên xem người khác chơi để mà học “đường” mới. Tương tự, muốn giỏi lập trình thì phải thường xuyên đọc mã của những cao thủ. David Hanson là một cao thủ C và cuốn sách này sẽ chỉ cho bạn nhiều “đường” mới trong việc sử dụng C. Tôi thích các bài tập của cuốn sách này. Tôi nghĩ chỉ cần luyện các bài này là đủ để trở thành một lập trình viên C hạng lông.
  • Justin Seitz, Gray Hat Python: Python Programming for Hackers and Reverse Engineers: cuốn này sẽ giúp bạn sử dụng Python để viết những công cụ nho nhỏ mà bất kỳ ai làm an toàn thông tin cũng sẽ phải viết một vài lần trong đời.
  • Douglas Crockford, JavaScript: The Good Parts: JavaScript là ngôn ngữ thống trị WWW. Nếu bạn muốn làm an toàn (ứng dụng và trình duyệt) web thì bắt buộc phải thành thạo ngôn ngữ. Cuốn sách rất mỏng này của tác giả JSON giới thiệu đầy đủ những vấn đề mà người làm an toàn ứng dụng cần phải biết về JavaScript. Cuốn này có thể dùng làm sách giáo khoa thay cho cuốn “Javascript: The Definitive Guide” trong lớp CS142 (xem bên dưới). Đọc cuốn này tôi mới hiểu closure là gì và bản chất prototypal của JavaScript.
  • Sẽ đọc: những cuốn được giới thiệu ở đây.

Hệ điều hành

  • Abraham Silberschatz, Peter Galvin, and Greg Gagne, Operating System Concepts, 8th Edition Update: cuốn này là giáo trình của lớp CS140. Tôi nghĩ không cần đọc cuốn này, chỉ cần đọc notes và làm bài tập (viết các phần khác nhau của một hệ điều hành!) là đủ. Đây là một lớp nặng. Tôi theo đuổi lớp CS140 này giữa chừng thì phải dừng lại do không có đủ thời gian.
  • Intel Software Developer Manuals: tôi thấy nên đọc tài liệu của 80386 trước, rồi sau đó hẵng đọc tài liệu của các CPU mới hơn.
  • Red Hat, Introduction to System Administration: tôi rất thích chương nói về “philosophy of sysadmin” của cuốn này và tôi nghĩ kỹ năng quản trị hệ thống là cực kỳ cần thiết khi muốn nghiên cứu các kỹ thuật tấn công/phòng thủ mới. Không thể làm an toàn vận hành nếu không có kỹ năng quản trị hệ thống.
  • Sẽ đọc: Mark Russinovich, David Solomon, Alex Ionescu, Windows Internals, Part 1: Covering Windows Server 2008 R2 and Windows 7.

Mạng máy tính

  • Richard Stevens, TCP/IP Illustrated Vol I: cuốn sách này quá nổi tiếng rồi nên tôi nghĩ không cần phải giới thiệu. Tôi chưa đọc Vol II, III nhưng nhất định sẽ tìm đọc trong thời gian tới. Lớp CS144 dùng một cuốn sách khác. Tôi chưa học lớp này, nhưng tôi thấy bài tập của họ khá thú vị.
  • Stephen Northcutt, Lenny Zeltser, Scott Winters, Karen Kent, Ronald W. Ritchey, Inside Network Perimeter Security, 2nd Edition: tôi thích cuốn này vì nó viết rất dễ hiểu về các vấn đề  và công cụ thường gặp trong an toàn mạng.
  • Sẽ đọc: Fyodor, Nmap Network Scanning.

Sau khi đã có những kiến thức cơ bản ở trên, bạn có thể theo đuổi lớp CS155. Lớp này có trên Coursera với tên Computer Security. Song song với lớp CS155, bạn có thể tìm đọc các sách sau:

Tìm lỗi phầm mềm

  • Mark Dowd, John McDonald, Justin Schuh, The Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities: Kinh điển và phải-đọc! Cuốn này là kinh thánh của lĩnh vực an ninh ứng dụng. Tôi thích nhất phần nói về tràn số nguyên và những vấn đề của ngôn ngữ C trong cuốn này.
  • Dafydd Stuttard, Marcus Pinto, The Web Application Hacker’s Handbook: Discovering and Exploiting Security Flaws: cuốn này tập trung vào ứng dụng web. Tôi không đọc cuốn này kỹ lắm, mà chỉ thường dùng nó để tham khảo. Dẫu vậy tôi nghĩ nó là một cuốn giới thiệu tốt cho những ai mới bắt đầu.
  • Michal Zalewski, The Tangled Web: cuốn này mới xuất bản gần đây nhưng đã ngay lập tức trở thành kinh điển! Cuốn này đúc kết quá trình nghiên cứu về an ninh web trong vài năm trời của một trong những hacker xuất sắc nhất thế giới. Tôi nghĩ chỉ cần đọc cuốn này là bạn đã có thể bắt đầu tìm lỗ kiếm tiền được rồi. Cuốn này và cuốn ở trên được dùng làm sách giáo khoa của lớp CS142.
  • Sẽ đọc: Tobias Klein, A Bug Hunter’s Diary: A Guided Tour Through the Wilds of Software Security

Dịch ngược mã phần mềm

  • Eldad Eilam, Reversing: Secrets of Reverse Engineering: mặc dù có rất nhiều người viết về RCE nhưng tôi thấy đây là cuốn duy nhất hệ thống hóa được các bước quan trọng cần phải làm khi cần dịch ngược mã của một tệp chương trình nào đó.
  • Chris Eagle, The IDA Pro Book: The Unofficial Guide to the World’s Most Popular Disassembler: IDA Pro là công cụ tốt nhất để làm RCE và đây là cuốn sách tốt nhất về IDA Pro. Nắm vững C và x86 Assembly thì chỉ cần đọc cuốn này là bạn có thể bắt đầu RCE các phần mềm phức tạp.
  • Sẽ đọc: Christian Collberg, Surreptitious Software: Obfuscation, Watermarking, and Tamperproofing for Software Protection: Obfuscation, Watermarking, and Tamperproofing for Software Protection
  • Sẽ đọc: Michael Sikorski, Andrew Honig, Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software

Điều tra số (digital forensics)

  • Brian Carrier, File System Forensic Analysis: Brian Carrier là tác giả của bộ công cụ forensic nổi tiếng The Sleuth Kit. Cuốn này đã giúp tôi “khai quật” được một đoạn video bị xóa lưu trong một máy camera quay lén các máy ATM.
  • Sẽ đọc: Cory Altheide, Harlan Carvey, Digital Forensics with Open Source Tools

Mật mã hóa

  • Niels Ferguson, Bruce Schneier, Practical Cryptography: tôi có nhiều kỷ niệm đẹp với cuốn này  . Hầu hết các kết quả làm việc của tôi trong vài năm vừa rồi là nhờ vào việc đọc cuốn này. Tôi chép lại đây giới thiệu rất hay của một người bạn: “The best security books, you can read “inside out”, taking any recommendation on what to do and looking for people to do the opposite to find flaws. “Firewalls and Internet Security” was like that. So was “Practical Unix Security”, and so is TOASSA. This is that book for crypto. It’s also the one book on crypto you should allow yourself to read until you start actually finding crypto flaws.
  • Jonathan Katz, Yehuda Lindell, Introduction to Modern Cryptography: Principles and Protocols: đây là sách giáo khoa của lớp CS255. Lớp này là lớp Cryptography trên Coursera.
  • Sẽ đọc: Adam Young, Moti Yung, Malicious Cryptography: Exposing Cryptovirology

Chú ý đây là những cuốn sách tập trung vào công việc hàng ngày và sở thích của tôi — nói cách khác, còn thiếu nhiều sách của các mảng công việc khác. Dẫu vậy tôi nghĩ những cuốn sách này sẽ giúp bạn có được một kiến thức nền tảng vững chắc để từ đó theo đuổi các nghề nghiệp khác nhau trong ngành an toàn thông tin. Trong thời gian tới tôi sẽ cập nhật thêm những cuốn sách mà tôi đang và sẽ đọc. Nếu bạn biết sách nào hay thì hãy giới thiệu cho tôi.

Ngoài ra trong các sách mà tôi vừa liệt kê không có cuốn sách toán (và lý thuyết khoa học máy tính) nào cả. Tôi nghĩ bạn sẽ tự có câu trả lời cho câu hỏi “Có nên học toán hay không?” khi bắt đầu học mật mã. Về hai mảng này thì tôi rất thích lớp “Great Ideas in Theoretical Computer Science” của Scott Aaronson và cuốn “A Computational Introduction to Number Theory and Algebra” của Victor Shoup. Thích đến nỗi tôi phải viết đoạn này chỉ để nhắc đến chúng  . Tôi cũng đã từng dành ra nhiều tháng để đánh vật với Introduction to the Theory of Computation của Michael Sipser. Nhưng thôi, tôi không muốn giới thiệu sách toán nữa vì tôi rất dốt món này!

5 Bắt đầu nói nhảm và hết

Phew! Không ngờ là tôi cũng viết được cho đến đây (hi vọng là bạn vẫn đang đọc!). Tôi định viết dông dài về thái độ học tập này nọ, nhưng thôi bài đã dài và nhiều thông tin rồi, nên tôi chỉ nói ngắn gọn thế này:

Cái mà tôi vừa “vẽ” ra là một con đường. Thú thật là tôi không biết đích đến của nó là gì — tôi chỉ biết rằng hành trình mà tôi đã đi qua (và hi vọng là những chặng đường sắp tới) đã mang đến cho tôi rất nhiều niềm vui — niềm vui của một con người đi khám phá thế giới, chinh phục những thử thách, để rồi chia sẻ những câu chuyện hay ho với tất cả mọi người.Mỗi ngày tôi đều dành thời gian đọc sách, làm bài tập, viết mã hoặc chứng minh một cái gì đó. Không ai bắt tôi phải làm những chuyện đó. Có những thứ tôi học cũng không (hoặc chưa) có liên quan gì đến công việc. Tôi học chỉ vì tôi thích và tò mò. Tôi học vì tôi muốn hiểu thêm những thứ mà tôi cho là hay ho. Tôi học vì tôi muốn đi mãi, đi mãi, đi đến tận cùng những cái mà người ta viết trong sách, để xem ở đó có gì hay không.

Hôm rồi tôi đọc một mẩu chuyện về Richard Feynman, trong đó có đoạn kể về lúc Feynman bị bệnh gần đất xa trời, ông tâm sự rằng, “[I’m going to die but I’m not as sad as you think because] when you get as old as I am, you start to realize that you’ve told most of the good stuff you know to other people anyway”. Đương nhiên những gì tôi biết làm sao mà “good” bằng những gì Feynman biết, nhưng dẫu sao thì tôi cũng sẽ học theo Feynman: có biết chuyện gì hay ho thì kể cho nhiều người khác cùng biết. Bài này là một chuyện như thế.

 

Happy hacking!

(cảm ơn đại ca M. đã đọc và sửa bản nháp của bài này)

Tham khảo : http://www.procul.org/blog/2012/05/02/lam-an-toan-thong-tin-thi-h%E1%BB%8Dc-gi/

 

 

Anonymous công bố thông tin bị rò rỉ liên quan tới điện hạt nhân của Việt Nam


 

Ngày 5/7/2012, tổ chức Anonymous đã công bố 1.2 Gigabyte dữ liệu nội bộ từ công ty Innodata Isogen. Tổng cộng có 40 Gigabyte sẽ được phát hành, bao gồm cả thông tin liên lạc của nhà cung cấp dữ liệu kinh doanh Thomson-Reuters vẫn chưa được tiết lộ.

 

any

 

Các thông tin bị rò rỉ chủ yếu chứa các tài liệu từ Cơ quan Năng lượng Nguyên tử Quốc tế (IAEA), đặc biệt có tài liệu liên quan đến sự phát triển của một cơ sở hạ tầng hạt nhân tại Việt Nam. Những tập tin này bao gồm các tài liệu tiếng Anh và tiếng Việt, bản scan hộ chiếu công vụ, thông tin cá nhân của một số cán bộ.

Bên cạnh đó Anonymous còn công bố một số tài liệu liên quan tới sự cố điện hạt nhân Fukushima.

 

(Theo Par-anoia)

http://www.vnisa.org.vn

Những tên gọi khác nhau của mẹ vợ trên thế giới


 

 

Mẹ vợ là một nhân tố không thể thiếu và không thể không đề phòng trong hôn nhân.

 

Biết bao cặp vợ chồng đã tan vỡ hoặc hạnh phúc vì do này. Ở mỗi quốc gia, mẹ vợ lại có một biệt danh và nỗi sợ hãi khác nhau. Sau đây, xin thống kê để mọi người, đặc biệt là các chàng trai, tham khảo:

Mỹ: Dân Mỹ gọi mẹ vợ là “luật sư”. Nghĩa là trong bất kỳ hoàn cảnh nào, mẹ vợ cũng tìm ra lý lẽ bênh vực cho con gái mình. Luật sư này cũng tính tiền công nhưng luôn luôn do con rể trả.

Tại sao các tổng thống Mỹ phần lớn đều tốt nghiệp trường luật? Tại vì họ muốn đấu tranh với mẹ vợ trước khi đấu tranh cho xã hội.

 

 Những tên gọi khác nhau của mẹ vợ trên thế giới
Minh họa: DAD

 

Pháp: Ngược với Mỹ, dân Pháp gọi mẹ vợ là quan tòa. Tất cả những phán quyết của quan tòa luôn luôn cần chấp hành, nhưng quan tòa có thể hối lộ được, đấy là chân lý đàn ông Pháp thuộc lòng.

Anh: Dân Anh gọi mẹ vợ là “nữ bá tước”. Đấy là một danh hiệu có từ lâu đời, đáng kính nhưng không nhất thiết phải hỏi ý kiến trong nhiều vấn đề. Đó là một chức danh có giá trị biểu tượng nhiều hơn giá trị thực, nhưng cũng chớ quá coi thường. Nói chung các mẹ vợ Anh bằng lòng với danh hiệu này. Đối tượng của họ là bố vợ chứ không phải con rể.

Đức: Dân Đức gọi mẹ vợ là “sếp”. Như mọi người đều biết, sếp là nhân vật cấp trên bổ xuống đầu ta chứ chả cần hỏi ý kiến ta. Sếp có thể bất công, sếp có thể vui vẻ và sếp có thể công bằng nhưng không sếp nào muốn mất chức và không sếp nào muốn nhân viên lên làm sếp, các ông phải nhớ điều này.

Trung Quốc: Dân Trung quốc gọi mẹ vợ là “ma ma tổng quản” ý nói đây là một bà già thiên về quản lý chứ không thiên về văn hóa văn nghệ. Bà ấy rất khó khăn trong ngân sách, trong nội quy, trong giờ giấc nhưng lại thiếu hiểu biết về tâm hồn. Đáng sợ nhất khi các “ma ma tổng quản” đã ly dị chồng vì khi đó họ sẽ dồn sức cho công việc.

Ý: Dân Ý gọi mẹ vợ là “cảnh sát”. Bình thường chả ai thấy cảnh sát nhưng khi có sự cố xảy ra họ tới rất nhanh và thường rút súng ra trước tiên. Tuy vậy, cảnh sát chả khi nào bắt được hết tội phạm và việc cảnh sát thỉnh thoảng liên kết với tội phạm cũng xảy ra.

Tuy nhiên, cảnh sát tới bao giờ cũng hú còi, còn mẹ vợ có thể tới trong im lặng.

Tây Ban Nha: Người dân Tây Ban Nha gọi mẹ vợ là “thám tử”. Khác với cảnh sát điều tra một cách công khai, thám tử không ra mặt và không phải lúc nào cũng dùng những nghiệp vụ hợp pháp. Tuy nhiên, thám tử cũng có thể dùng tới bạo lực. Nhìn chung, thám tử hoạt động một cách âm thầm.

Đan Mạch: Dân Đan Mạch gọi mẹ vợ là “lính gác”. Lính gác luôn có hai chức năng: khám xét người bên ngoài vào và khám xét người từ trong ra. Lính gác cũng hay ngủ gật và hay mang súng mà không có đạn. Tâm trạng của lính gác là cô đơn và ghét kẻ khác không cô đơn.

Thụy Điển: Người Thụy Điển gọi mẹ vợ là “giáo sư”. Một số thứ giáo sư có kiến thức cực kỳ sâu sắc, nhưng rất nhiều thứ giáo sư chả biết gì.

Các giáo sư luôn luôn tỏ ra đường bệ và luôn luôn cần có học trò. Giáo sư thường sống thanh đạm cho nên không hiểu được khi kẻ khác sống phong phú. Muốn được điểm cao từ giáo sư, đôi lúc chỉ cần học thuộc lòng.

Na Uy: Dân Na Uy gọi mẹ vợ là “cá voi”. Cá voi to lớn, hiền lành và cứu người nhưng nếu cần cá voi sẽ nuốt cá mập.

Việt Nam: Dân Việt Nam gọi mẹ vợ là mẹ vợ. Mỗi cá nhân có cách cư xử với mẹ vợ tùy vào hiểu biết và lòng dũng cảm!

 

 

Lê Hoàng

Báo Thanh Niên