Messages posted by: mrro

Trên bình diện web hosting, hãy thử bàn xem, "security through obscurity" có những điểm lợi nào? Ví dụ:

- bằng cách nào đó chỉnh server để nmap (hoặc một tool tương tự) nhận ra nó là Windows thay vì Linux.

- bằng cách nào đó chỉnh Web service từ Apache thành IIS 5.

- bằng cách nào đó, chỉnh "đuôi" .php thành .abc

Những việc trên có những điểm lợi gì? Nó có thật sự gia tăng bảo mật cho dịch vụ?

Hi anh conmale,

Khi apply một phương án phòng thủ nào đó, em thường suy nghĩ nhiều về sự cân bằng giữa chi phí (bao gồm thời gian và tiền bạc) để triển khai phương pháp đó và hiệu quả thật tế mà nó đem lại.

Em cho rằng các phương thức "security through obscurity" mà anh đề cập ở trên rơi vào trường hợp chi phí thấp và hiệu quả cũng thấp luôn. Chi phí thấp vì triển khai những phương thức này không khó; hiệu quả thấp vì vượt qua chúng cũng không khó.

Do chi phí thấp nên người ta thường triển khai nó, kiểu như tâm lý thấy hàng giá rẻ thì mua, hoặc thấy mọi người đều làm thì mình cũng làm luôn cho nó "hợp thời". Bản thân em cũng vậy, em sẽ triển khai chúng nếu nó không làm mất quá nhiều thời gian. Dẫu sao thì em cũng tin rằng security + obscurity vẫn tốt hơn một mình security :p.

-m

conmale & JAL: hoàn toàn đồng ý với ý kiến của hai anh. Như em đã nói trong bài viết của mình, phương thức này không phải là silver bullet, có thể giải quyết dứt điểm xFlash. Ưu điểm lớn nhất của nó là có thể phát hiện ra được xFlash bất kể thằng xFlash có thay hình đổi dạng đến cỡ nào (ý em là thế hệ xFlash gửi POST request như hiện nay).

hackernohat: tôi biết rõ ActionScript 3 nguy hiểm cỡ nào và trong bài viết của tôi cũng có đề cập đến điểm này. Phương thức này chỉ có thể chống lại đám xFlash hiện tại thôi, còn nếu kẻ tấn công cố ý khai thác những tính năng mới của ActionScript 3 thì phương thức này sẽ hoàn toàn bó tay. BTW, XMLSocket không phải là tính năng nguy hiểm nhất của ActionScript 3 đâu.

-m

Tôi có viết về một phương pháp chống DDoS bằng xFlash:

* Cách thức browser xử lí các HTML form có enctype = "multipart/form-data" và enctype = "application/www-urlencoded" (default) hoàn toàn khác nhau. Điểm khác nhau đặc trưng là khi submit (nghĩa là tạo ra POST request) form "multipart/form-data", browser sẽ tự động set Content-type là "multipart/form-data", còn khi submit các form khác, browser sẽ sử dụng Content-type là "application/www-urlencoded".

* Flash (với các hàm thường được sử dụng để DDoS như LoadVars, GetURL hay SendtoURL, etc...) không thể gửi POST request theo định dạng "multipart/form-data". Đây chính là "gót chân Asin" của Flash.

* Do đó nếu bằng một cách nào đó, ta có thể set tất cả các form thành enctype = "multipart/form-data", nghĩa là ép tất cả POST request có Content-type là "multipart/form-data", ta sẽ có thể phát hiện ra những POST request xuất phát từ Flash, vốn dĩ luôn có Content-type là "application/www-urlencoded".

Xem chi tiết và góp ý ở http://vnhacker.blogspot.com/2007/07/mt-phng-php-chng-ddos-bng-xflash.html.

-m

Ai cũng biết nó là vậy nhưng không ai chịu share cả, h có người share ra lại bị nói là hông có sáng tạo, thiệt là Vietnamese ^^

Hì xin lỗi, nhưng tôi tự hỏi, có ai đó học được gì từ topic này ngoài chuyện hướng dẫn sử dụng hai cái script có sẵn? Và nếu ai đó thay vì dành thời gian nghiền ngẫm những topic như vậy, dùng để đọc sách về Linux chẳng hạn, người đó có dễ dàng hiểu được chuyện gì thực sự đang xảy ra khi tôi click vào cái nút đó, hay nhập vào cái lệnh này ở ngay chỗ đó rồi nhấn enter?

Sở dĩ tôi không thích topic này đơn giản vì nếu đã là topic hướng đến những người mới bắt đầu, tác giả nên giải thích tường tận chuyện gì thực sự xảy ra khi sử dụng các công cụ (và nếu không có các script có sẵn thì phải làm gì).

Ví dụ như khi tôi nhập vào 1221 và nhấn nút Bind Port, thì đoạn code nào sẽ được thực thi và ý nghĩa của đoạn code đó là gì. Ở đây tác giả chỉ viết theo kiểu, 1. click chỗ này, 2. nhập cái này vào chỗ đó, 3. enter, 4. rồi hack được rồi đó.

BTW, cái câu "thiệt là Vietnamese" của bồ rất khó nghe, chẳng biết nó có làm những người khác có suy nghĩ gì về bồ, riêng bản thân tôi chưa bao giờ đánh giá cao những người mở miệng ra là "thiệt là Vietnamese".

bác "mod" hông đọc nhưng cũng đừng delete hen, để noob vào đọc cho khuây khỏa, chắc bác mrro "có nhiều root" nên hổng cần get chi cho mệt

Chưa có ai đề cập gì đến chuyện xóa hay đóng topic này cả. Tôi chỉ nói là tôi sẽ không đọc và không tham gia bình luận về nó bởi vì tôi không muốn phí thời gian làm những chuyện vô bổ.

-m

Thiệt tình nói bồ Girl Noob đừng buồn, tôi đọc từ đầu đến giờ cũng hơn 3 trang rồi mà vẫn chưa thấy chỗ nào là của bồ Girl Noob tự viết hết. Những chi tiết bồ Girl Noob đưa ra đều hoặc sử dụng công cụ nào đó của người khác, hoặc khai thác một lỗi phần mềm đã biết nào đó, tôi vẫn chưa thấy được một chút gì đó gọi là sáng tạo hay của riêng cá nhân bồ Girl Noob.

Nếu phần kế tiếp bồ cũng chỉ tiếp tục quanh đi quẩn lại như thế thì dẫu bồ có get root được server, tôi cũng chẳng có hứng thú đọc tiếp. Nếu quả thật như thế, tôi chân thành khuyên bồ không nên viết tiếp nữa làm gì, mà nên dành thời gian để làm những việc khác có ích hơn, chẳng hạn như đọc sách.

Vài góp ý,

-m

Bồ updateslove nên đọc kĩ và suy nghĩ thật nhiều về những đề nghị của conmale. Tất cả những đề nghị đó đều xuất phát từ kinh nghiệm làm về bảo mật cũng như kinh nghiệm sống, thành ra nó rất đáng giá để nghiền ngẫm.

Nếu bồ updateslove muốn học để trở thành một "chuyên gia bảo mật", tôi nghĩ trước tiên hãy gạt bỏ những thêu dệt về cái nghề bảo mật đã, rằng nó hay, nó hấp dẫn, nó cool, nó tuyệt vời..., rồi bắt đầu học từ những cái căn bản nhất (là những gợi ý mà conmale đã đưa ra rồi, nên tôi không nhắc lại).

Thế học bao nhiêu là đủ? Tôi không biết các ngành nghề khác như thế nào, riêng trong lĩnh vực IT này, đặc biệt là làm IT Security, tôi cảm thấy chưa bao giờ mình được phép ngừng học. Thành ra đừng nghĩ rằng mình học 1-2 năm sẽ làm được IT Security, mà nó là cả một quá trình rất dài hơi, đòi hỏi một sự kiên nhẫn và quyết tâm nhất định. Bản thân tôi, sau hơn 6 năm kể từ ngày có chiếc máy tính đầu tiên, vẫn phải luôn học mỗi ngày.

Khi bồ đầu tư thời gian học như thế, đến một lúc nào đó bồ sẽ tự ý thức được rằng, mình cần phải học thêm cái gì và học ra sao để có thể đạt được nghề nghiệp mình mong muốn. Hoặc cũng sẽ có lúc, bồ nhận ra rằng, cái nghề mà mình ước mơ từ trước đến nay, thật ra không phù hợp với mình.

Vài chia sẻ,

-m

em không bao giờ dùng blacklist, em ghét blacklist, em dọt đây trước khi các bác phang cho gãy giò :-d

Phát hiện của vtv_4 thật có ích. Tôi nghĩ nó sẽ làm cho các web-developer ở VN chú ý hơn đến lỗi này.

-m

Vậy tôi sửa đổi lại thành RHEL là phiên bản thương mại, còn Fedora và Centos là phiên bản được phân phối miển phí . Cái này bro hiểu sai ý của tôi nói rồi, cám ơn bro góp ý

Phân loại như thế này nghe cũng không được, bởi lẽ RHEL cũng có thể được phân phối hoàn toàn miễn phí.

Nếu như người nào đó (chẳng hạn là tui) mua phiên bản RHEL từ Redhat giá trên 2.000 USD (không phải chỉ cần mua một subscription của RedHat Network với giá $70/năm) sau đó tôi upload lên server nào đó để cho nhiều bà con khác (share cho public) download "chùa" .
Vậy tôi và bà con khác này có vi phạm giấy phép GPL không nhĩ !?

Câu trả lời là không.

-m

Nói chung các hệ điều hành thuộc họ "redhat" nó như thế này. Nó chia ra làm 2 phần riêng biệt : bản quyền và không có bản quyền .
- Redhat Enterprise được chia ra làm nhiều loại, có thể dùng cho cá nhân, gia đình, tổ chức như Red Hat Enterprise Linux ES , Red Hat Enterprise Linux WS , Red Hat Desktop , Red Hat Enterprise Linux AS . Redhat Enterprise là phiên bản có bản quyền .
- Centos được phát triển từ nền Redhat, bạn từng dùng qua Redhat và Fedora chắc chắc bạn không bở ngỡ khi sử dụng, tiếp xúc với Centos . Centos là phiên bản miển phí .

Tất cả các distro, hay bất kì phần mềm, hay bất kì thứ sản phẩm nào của bộ óc con người (ngoại trừ các sản phẩm thuộc loại http://en.wikipedia.org/wiki/Public_domain) đều có một cá nhân, tổ chức giữ bản quyền ( http://en.wikipedia.org/wiki/Copyright).

Fedora thì do Fedora Project giữ bản quyền, RedHat Enterprise thì do Redhat giữ bản quyền, còn Centos thì do nhóm phát triển Centos giữ bản quyền. Do đó không thể nói là RHEL thì có bản quyền, còn Fedora hay Centos thì không. Những người giữ bản quyền của một sản phẩm sẽ phát hành sản phẩm đó dưới các giấy phép sử dụng ( http://en.wikipedia.org/wiki/License) khác nhau, mỗi giấy phép gui định quyền và nghĩa vụ khác nhau cho người sử dụng sản phẩm đó. Cả ba distro Centos, Fedora và RHEL đều được phát hành dưới giấy phép sử dụng GPL, nghĩa là nó cho phép ngưới sử dụng được phép sao chép, chỉnh sửa hay phân phối lại các distro này một cách không giới hạn. Thật tế Centos ra đời chính là nhờ vào một qui định của giấy phép GPL, yêu cầu RedHat phải công bố mã nguồn của RHEL.

Nói về giá cả, RHEL được RedHat rao bán với giá rất cao, nhưng thật tế chẳng ai đi mua RHEL theo kiểu đó cả. Bạn chỉ cần mua một subscription của RedHat Network với giá $70/năm, là đã có thể download thoải mái tất cả các phiên bản khác nhau của RHEL rồi. Sau khi download về, GPL cho phép bạn có toàn quyền sao chép, phân phối hay thậm chí bán lại cái RHEL đó. Do đó người ta có bán RHEL 7.000d/đĩa cũng là chuyện bình thường, hoàn toàn hợp pháp.

Mong bồ G.A lần tới khi nói về bản quyền thì chú ý những điểm này hơn.

-m

1. Vậy xin hỏi anh em thư mục sau khi cài đặt djbdns này nó "lẫn trốn" ở đâu ? cách thức cài đặt ở trên của tôi có "vấn đề" hay không ?

2. Những gì mà tôi có ở trên, tôi có thể thiết lập tinydns trên server của mình hay không ? Bằng cách nào để thiết lập nó ? Nếu không được thì thử nghiệm trên localhost củng được

1. Nó không lẩn trốn đi đâu cả. djbdns = tinydns + dnscache, theo bồ miêu tả thì đã thấy có tinydns rồi, còn dnscache thì tôi nghĩ cũng đã nằm trong $PATH của bồ rồi đó.

2. Câu trả lời là không. Bồ không thể sử dụng dynamic IP cho authorative DNS server của một domain nào đó. Thử nghiệp trên localhost thì chắc chắn được rồi.

BTW, tôi nghĩ bồ chưa đọc kĩ bài viết của hnd đâu, bồ nên đọc lại thêm một lần nữa.

Nhân tiện tiêu đề của bài viết là "inject code" nên mặc dù không ăn nhập với ý muốn của OP, tôi cũng xin phát triển topic theo hướng "inject malicious code into running process". Cách đây vài ngày, tôi có đọc một tài liệu về http://www.metasploit.com/projects/Framework/docs/meterpreter.pdf, một payload thế hệ mới của http://www.metasploit.com. Ý tưởng chủ đạo của Meterpreter là giúp cho công đoạn post exploitation trở nên dễ dàng và ít bị phát hiện hơn bằng cách thay vì folk một process mới (có thể là bind shell hay reverse shell hay bất kì payload nào khác), Meterpreter sẽ attach vào cái exploited process và chạy luôn trong đó, sử dụng kĩ thuật [http://www.nologin.net/Downloads/Papers/remote-library-injection.pdf]Remote Library Injection[/url].

Việc attach vào exploited process đưa lại nhiều lợi thế:
1. Toàn bộ exploit code cũng như các payload được upload lên đều nằm trong memory, do đó có thể tránh được tai mắt của các phần mềm antivirus.
2. Không folk ra process mới cũng giúp tránh được nguy cơ bị phát hiện bởi quản trị viên hoặc các phần mềm HIDS.
3. Giải quyết được vấn đề của "chroot jail".
4. Mở ra một hướng phát triển rộng hơn các payload extension giúp cho công đoạn post-exploitation dễ dàng và thú vị hơn.

Có ai đã sử dụng meterpreter trong thực tế chưa?

-m

Không biết IEProtector có chặn được cái 0-day exploit của IE mà thiên hạ đang bàn tán suốt mấy ngày qua không nhỉ?

Xem thêm ở http://www.xsec.org/index.php?module=Releases&act=view&type=2&id=21.

-m

Một side effect "đáng yêu" của giải pháp này là nó sẽ góp phần làm giảm tình trạng mass msg tràn lan trên Yahoo! Messenger. Tui vẫn nghĩ đây là một hành vi rất thiếu văn hoá và rất vui khi vô tình giải pháp mà tui đưa ra cũng góp phần cải thiện tình trạng này.

-m

Link hiến máu hay cứu trẻ em thì...trừu tượng quá, mà tỉ lệ xuống hiện link kiểu này thì không nhiều.

Ví dụ khác nè:
- Lớp học đi cắm trại (hay đi..đâu đó, có vô vàn lý do để...đi), chụp hình
- A được giao nhiệm vụ về copy hình ra máy rồi up lên net
- A về hì hục làm tới đâu...1-2g sáng, send cái link hình up lên cho lớp
- A nhận lại được...100 cái challenge code
==> A...

Hì, cả trăm người xài cái plugin đó thì còn gì bằng nữa. Tui có đề cập trong phần đầu, chuyện này có thể giải quyết bằng cách đưa địa chỉ website của lớp vào trong whitelist, thế là khỏi phải challenge gì nữa.

Vả lại, plugin này bảo vệ người nhận thành ra chỉ chừng nào nó gây ra những khó khăn cho người nhận thì lúc ấy mới nên bàn về usability của nó. Tui vừa thử làm một phép thống kê nho nhỏ và thấy rằng trong tất cả msg chứa link gửi đến cho tui:

- 50% trong số đó là những website thông dụng kiểu như http://vnexpress.net, http://vnhacker.org, http://www.tuoitre.com.vn...Khi triển khai plugin, tui sẽ đưa hết tất cả những website dạng này vào whitelist.

- 30% trong số đó là những website tui chưa từng biết nhưng không chứa virus. Đây là thành phần sẽ phải đi qua cơ chế challenge-response (và sau đó sẽ được add vào user-defined whitelist)

- 20% còn lại là những website chứa virus. Đây là thành phần sẽ phải đi qua cơ chế challenge-response.

Tui nghĩ tui sẽ triển khai hai dạng whitelist và blacklist, một cái là user-defined và một cái là do tui tự quản lí. User có quyền chọn để sử dụng whitelist/blacklist nào mà họ thích.

Những nhược điểm thấy được của cách làm này nếu cần phải đưa ra để bàn luận là:

- Nó không xử lí được offline msg (do hiện tại SDK của Yahoo! Messenger vẫn chưa cho phép làm chuyện này)

- Nó không xử lí được tình huống user click vào status của một user khác. Tui nghĩ tình huống này đã vượt ra ngoài tầm kiểm soát của cái plugin do đó user cần sự bảo vệ của một chương trình antivirus nào đó.

- Có thể xảy ra tình trạng mất msg hoặc msg đến trễ khi người send msg xong rồi offline như bồ LeVuHoang đã chỉ ra ở trên.

-m

Hì, cái vụ "10 năm với 3 tháng" thì tui chỉ chọc bồ nbthanh một chút thôi. Tui nghĩ rằng khi làm phần mềm thì điều quan trọng là phần mềm của anh có làm được việc hay không, nó có dễ xài và giá cả có cạnh trạnh hay không, còn khách hàng chẳng quan tâm đến việc anh bỏ ra bao nhiêu thời gian để làm ra cái phần mềm đó. Họ càng không quan tâm anh có tạo ra nó hay sử dụng lại solution của thằng khác. Tuy tui chỉ dành có 3 tháng để tạo ra Asas và Kiosk Appliance nhưng nó hội đủ các điều kiện của một phần mềm tốt: làm được việc (ai muốn kiểm chứng thì tui sẵn sàng cho coi real-time data luôn), dễ dùng (vì là appliance) và miễn phí.

Hì nếu 10 năm trước tui bắt tay vào làm Asas hay Kiosk Appliance, chắc hẳn tui cũng phải trải qua nhiều giai đoạn như Akonix (điều này không thể xảy ra, bởi 10 năm trước tui còn chưa thuộc được cái bàn phím máy tính). Ở thời bây giờ, nếu đã có sẵn sản phẩm phục vụ nhu cầu của mình, tội dại gì phải làm lại nó? Tui chỉ làm mỗi chuyện là chọn lựa những thằng tốt nhất trong những sản phẩm có sẵn, đóng gói lại, nhúng vào đó kiến thức và kinh nghiệm của mình, rồi chuyển giao cho khách hàng. Chắc hẳn bồ nbthanh cũng hiểu được nguyên tắc làm phần mềm này. Akonix sử dụng Linux, Java, PostgreSQL cũng là vì họ hiểu được rằng đây là những solution có sẵn tốt nhất cho họ. Asas sử dụng Postfix hay Kiosk Appliance sử dụng Firefox cũng vì lý do tương tự.

Vì những lẽ trên, việc so sánh Asas với Akonix khập khiễng không phải vì Akonix tạo ra được sản phẩm, dành nhiều thời gian cho nó, còn tui chỉ sử dụng solution có sẵn mà thôi, mà khập khiễng vì hai phần mềm làm những nhiệm vụ khác nhau. Nếu lấy tính hiệu quả làm thước đo để so sánh, tui tự tin rằng sản phẩm của mình làm rất tốt nhiệm vụ của nó. Bản thân tui không phải là người làm sales, mà là một tay làm về kĩ thuật thuần tuý do đó khi tui nói sản phẩm của tui làm được thì chắc chắn nó đã làm được rồi.

Tin tức nóng hổi: http://it.slashdot.org/it/06/09/23/1234251.shtml

There's a new Instant Messaging Worm on the loose that is wrapped up in more than a few interesting twists. The people behind the infection lure users in with a message on a Russian hosted website claiming to have 'a virtual card for you' — a reference to the famous Email hoax listed on Snopes and numerous other web hoax sites. At the point of infection, the worm opens up a picture of a heart (from a site called Quatrocantos.com that tackles web scams on a daily basis) — this picture itself related to a different 'virtual card' hoax from 2002. Bearing in mind the people behind this attack are deliberately serving up an image from a 'good guy' website related to virtual card hoaxes, the question is — are they attempting to create a real life infection out of a web-based piece of lore, making a calculated move to tie this attack into numerous Web hoaxes, possibly to confuse infected users looking for help online or simply having a little fun at the good guy's expense?"

-m

Hì, bồ nbthanh biết rõ người đó là ai rồi mà còn hỏi lại. "Sào nấu lại solution có sẵn" thì đã sao nhỉ? Chẳng phải mới vừa rồi có ai đó nêu lên một cách tự hào rằng Akonix cũng sử dụng những gì đã có để làm? Hì so sánh Akonix với Asas về hiệu quả của nó thì chưa biết ai hơn ai àh. Nếu bồ nbthanh muốn thử attack cái Asas thì tui sẵn sàng thôi, tui cũng đang thiếu tester. Mà hình như lạc đề nghiêm trọng rồi.

-m

Hì, một người bạn của tui làm cho Akonix, tui đã biết được sản phẩm ngay cái hôm tui nảy ra ý tưởng về việc áp dụng greylisting để chống spim. Tui không thích cách làm của Akonix là bởi vì nó làm theo kiểu appliance, nghĩa là chỉ những user nào ở trong doanh nghiệp có sử dụng Akonix thì mới được nó bảo vệ. Thay vì tập trung vào việc clone Akonix, tui muốn thiết kế một plugin cho Yahoo! Messenger để chống spim, plugin này ai cũng có thể download và cài đặt một cách dễ dàng. Tui muốn home user, hay user ở các tiệm Internet cũng có thể thoát khỏi vấn nạn spim. Rõ ràng đây là hai hướng đi hoàn toàn khác nhau. Không biết nói vậy bồ nbthanh có nhận ra điều gì không? Hì tui cũng không hiểu bồ nbthanh có tham gia làm cái Akonix đó hay không mà cứ recommend nó hoài vậy cà.

Hì, bồ nbthanh rất có tài tung hoả mù. Tui rất khâm phục cái cách bồ chuyển đề tài từ Akonix sang Kiosk Appliance theo cái hướng là K.A. copy cách làm và ý tưởng thực hiện của Akonix. Hì mất đến 10 năm để tạo ra Akonix àh? Tui chỉ mất có 3 tháng để tạo ra Kiosk Appliance và cả http://www.innology.com.vn/products/asas.

Ngoài khả năng tung hoả mù ra, tui phải công nhận là bồ nbthanh có khả năng tranh luận tứ tung rất khá. Từ đầu đến giờ tui thấy được rất nhiều "chiêu thức", từ chụp mũ, tung hoả mù, bày tỏ sự thất vọng, đến chia rẽ, đưa ra sự khác biệt giữa tui và bồ LeVuHoang...Hi vọng sẽ còn được chiêm ngưỡng thêm được nhiều "kĩ thuật" khác nữa của bồ. Hi vọng "chiêu" cuối cùng không phải là "tôi không còn gì để nói nữa".

Hi vọng trong thời gian sớm nhất tui sẽ cho ra mắt plugin thể hiện các ý tưởng mà tui đã từng đề cập ở topic này, lúc đó thực tế sẽ chứng minh là cái nào hiệu quả và dễ sử dụng hơn.

-m

Bác Thái nhà ta vẫn chứng nào tật nấy (và có 1 thời gian khá lâu tôi không ghé diễn đàn, không biết bác Thái nhà ta bị dính bệnh "vĩ nhân" từ lúc nào ấy thế nhỉ ).

Hì, chắc mới bị thằng nào đó lây.

...và sau khi tui đã giải thích là nó có ích...

Không biết bác Thái quên, hay cố tình quên (hay đây là 1 trong những biểu hiện của "vĩ nhân bệnh")? Giải thích không làm cho 1 sự việc từ "vô ích" tự nhiên trở thành "có ích".
Có ích hay không thì phải để thực tiễn chứng minh. Và thực tế là gì? Thực tế là chính bác Thái cũng đã nhận định những hạn chế của mình.
Vậy không hiểu cái "có ích" của nó nằm ở đâu?

Tui không nói ý tưởng của tui là có ích, tui nói việc nghiên cứu tìm giải pháp cho vấn đề spim là có ích.

nhưng bồ cũng biết rồi đó, tui chẳng vĩ đại như Edison để mà có thể tự thấy được hết những lổ hỏng trong suy nghĩ của mình.

Nói như thế này thì thật là sỉ nhục Edison (nói riêng) và giới làm khoa học (nói chung) quá!
Tự đánh giá và xem xét lại những lối suy nghĩ, tu duy cũng nhưng những thành quả của mình có được là kỹ năng cơ bản mà bất cứ người làm khoa học nào cũng có. Đâu phải phải cỡ như Edison thì mới làm được. Đem Edison ra để làm "khiên" chỉ là hành động nguỵ biện và chỉ tổ làm Edison thêm xấu hổ

Hì, bản thân tui đã tự tìm thấy chỗ sai trong ý tưởng của mình. Đơn giản tui sai vì tui đã đánh giá quá thấp AutoIt. Tui thừa nhận chuyện đó, không hiểu như thế có phải là sỉ nhục Edison.

Bản thân tôi chẳng thích lôi "Tây" ra mà so sánh với "Ta" để làm gì, vì như thế chỉ làm mình xấu hổ thêm, nhưng:
- Nếu không nhìn người mà chỉ nhìn mình thì chẳng qua cũng chỉ là "ếch ngồi đáy giếng"
- Nà nếu tôi không lầm thì bác Thái đem Edison vô trước, và nếu tôi nhớ đúng thì Edison là "tây" chứ chẳng phải ta

Hì, tui chưa bao giờ phản đối chuyện học hỏi nước ngoài cả, tui nhắc chuyện Tây bởi lẽ bồ nbthanh chính là người đưa ra ví dụ về cách nó giải quyết tận gốc vấn đề.

Không biết bác Thái có đọc cái link mà tôi đưa không (tôi thì link nào của bác tôi cũng đọc hết, toàn link tới các site của expert cả, bỏ qua thì "uổng" lắm ). Trong cái link của tôi đưa ra, ta biết được mấy điều:

- Thứ nhất: các chương trình AV của nước ngoài đã nhận dạng và diệt được các virus AutoIt của Vn từ khá lâu, cái link tôi đưa chẳng phải là tôi đưa ra 1 con virus AutoIt của nước ngoài đã được F-Secure diệt (tôi không được rảnh như vậy ), mà đó chính là con AutoIt của VN đấy. Nó đã được các Av của nước ngoài nhận diện và đặt tên cho tới version AutoIt.X (và tôi cũng nói thêm là còn có con AutoIt.D nữa, cũng VN nốt, vậy thì không biết con AutoIt đầu tiên đã bị diệt từ bao lâu rồi?).

- Thứ hai: cũng chẳng phải các AV nước ngoài "thần sầu" hay "rảnh" đến mức tìm diệt virus VN như vậy. Mà khởi đầu, con AutoIt đó (và các con virus lây lan qua IM, P2P khác) được phát hiện, cô lập, và gởi đến cho các cty AV chỉ trong vòng vai giờ sau khi virus xuất hiện là nhờ một hệ thống bảo vệ tương tự như L7 (của cty Akonix, trong cái link thứ 2 mà tôi đưa ra).
Thế mà bác Thái vẫn còn ngồi đây "mong muốn tìm ra giải pháp", rồi "nhờ mọi người xem xét, đóng góp". Như thế chẳng phải là sáo rỗng lắm sao?

Giải pháp: đã có (giải pháp của Akonix đã nhen nhóm từ 10 năm trước, còn các cty "đại thụ" khác trong làng security thì tôi không biết cụ thể, nhưng tôi tin rằng nó phải còn lão làng hơn thế nữa!)
Xem xét, đóng góp: cũng đã có, tôi còn đưa tới 2 cái link tới một giải pháp to đùng cho các bác tham khảo kia mà! Không biết bác Thái có xem qua giải pháp security của Akonix chưa? Hay là do "nó của bọn Tây nên..."?

Hì, giải pháp đó là dành cho ai? Ai có khả năng mua và sử dụng nó? Và một câu hỏi nữa, liệu giải pháp đó có phải là giải pháp tối ưu? Cứ cho đó là giải pháp tốt, tui vẫn nghĩ rằng việc đi tìm kiếm một giải pháp khác đơn giản, gọn nhẹ hơn vẫn chẳng sáo rỗng ở đâu cả.

Hì bồ nbthanh xin đừng chụp thêm một cái mũ "bài Tây" cho tui, đội cái mũ "vĩ nhân" đã nóng lắm rồi.

Và không hiểu bác Thái có ý gì khi nói "...chắc là chưa bao giờ làm về security cả" nhỉ

Nói vu vơ vậy thôi, ai nhột tự biết.

"Giáo dục không thôi thì chưa đủ" không có nghĩa là "vậy thì không cần giáo dục nữa", vì rõ ràng "kỹ thuật không thôi thì sẽ không bao giờ được" (vậy hoá ra thì "thôi cần gì kỹ thuật nữa"!).
Schneier và Marcus Ranum phê phán lối giáo dục phiến diện, lối giáo dục lệch lạc chứ họ vẫn đề cao việc nâng cao ý thức của con người. Tôi cũng chỉ nói chúng ta nên chú trọng hơn nữa việc giáo dục về ý thức (cái mà hiện nay chúng ta hoàn toàn chưa có) chứ có câu nào nói "chỉ cần giáo dục là đủ" đâu?
Bỏ qua tôi (vì tôi tự thấy mình chả là gì so với Schneier và Marcus Ranum ), nhưng đọc bài viết của các cao nhân như Schneier và Marcus Ranum mà lại hiểu sai ý, từ hiểu sai ý tới thực hiện sai đường lối thì nguy hại lắm thay, vậy thôi thà đừng đọc
"It is often easier to not do something dumb than it is to do something smart" (Marcus Ranum nói, không phải tôi ).

Hì tui nhớ Marcus Ranum có đặt một câu hỏi: The real question to ask is not "can we educate our users to be better at security?" it is "why do we need to educate our users at all?". Cho user thấy spim rồi giáo dục họ là đừng đọc, đừng click vào nó là một kiểu "default permit". Tại sao không chặn ngay từ đầu để họ không thấy được spim, từ đó không thể click vào được các đường link trong đó? Tại sao không sử dụng kĩ thuật để tự động áp user vào khuôn khổ thay vì phải tập trung giáo dục họ để rồi đêm dài lắm mộng? Giáo dục là việc cần thiết nhưng trong những trường hợp mà kĩ thuật vẫn còn có tác dụng, tui vẫn cho rằng nên sử dụng kĩ thuật để áp đặt một cơ chế an toàn cho tất cả mọi người. Bất kì người dùng máy tính nào cũng từng nghe lời khuyên là nên đặt mật khẩu khó đoán nhưng bao nhiêu người thực sự tuân theo lời khuyên này? Tại sao mặc định không ép user phải đặt mật khẩu có 8 chữ thay vì khuyên họ nên đặt mật khẩu dài hơn 6 chữ?

Hì, một điều tui cũng muốn góp ý với bồ nbthanh hay tất cả mọi người ở đây: khi đánh giá bất kì ý tưởng hay sản phẩm nào của bất kì ai, xin vui lòng tập trung vào ý tưởng hay sản phẩm đó, mọi khen chê, chửi bới đều sẽ được chấp nhận. Nhưng xin hãy lịch sự (hoặc ít nhất là tỏ ra lịch sự) đừng attack tác giả của nó.

Tổng kết lại thì tui thấy bồ nbthanh cho rằng tui ngu, rảnh rỗi không có gì làm, mắc bệnh vĩ nhân, ếch ngồi đáy giếng, bài Tây nên mới ngồi nghĩ ra ba cái ý tưởng vớ vẩn này. Tui chẳng biện minh gì cả, chỉ muốn bồ nbthanh hiểu 2 chuyện:

- Việc tìm kiếm giải pháp cho những vấn đề kiểu như spim là một sở thích của tui.

- Nếu như bồ nbthanh cảm thấy việc tìm kiếm giải pháp này là mất thời gian, là lố bịch, là việc làm của những ếch con, thì đừng tham gia. Có mợ thì chợ vẫn đông, không có mợ thì chợ chẳng bỏ không bữa nào.

-m