Posts

Showing posts from June, 2008

copyright vs license

Hôm nay rất vui là cuối cùng cũng có một tờ báo lên tiếng về sự kiệncủa BKIS, và BKIS đã không còn im lặng nữa. Đây có thể coi là một kết quả khả quan ban đầu để khích lệ tinh thần của những anh em đã đưa vụ này ra ánh sáng.

Những gì cần nói thì một số bồ trên HVAOnline đã nói rồi, tôi chỉ muốn nhấn mạnh thế này: có lẽ bác Quảng và một vài người khác đang thảo luận trên HVAOnline không phân biệt được hai khái niệm copyright và license.

Copyright (ở VN dịch là bản quyền, tôi thấy cách dịch này không rõ lắm) là quyền của tác giả, quyền của người tạo ra sản phẩm, chữ *copy* có thể hiểu nôm na là quyền được sao chép, quyền được phân phối lại.

Tôi thấy nhiều người hay nói, "tôi xài Windows có bản quyền", "tôi xài phần mềm X có bản quyền"...phát biểu như thế là hoàn toàn huề vốn, bởi lẽ bất kỳ thứ sản phẩm nào được tạo ra trên thế giới đều có bản quyền (trừ những sản phẩm thuộc dạng public domain), nghĩa là có một ai đó giữ quyền tác giả của chúng.

Lẽ ra các phát biểu trên p…

Có cần bảo vệ firewall không?

Sau khi tôi đã đưa ra ý kiến cho câu hỏi "Firewall có thật sự bảo vệ thông tin tuyệt đối hay không?", thangdiablo trả lời thế này:
Như tôi đã nói phía trên, với một người quản trị mạng nếu quan niệm đưa firewall vào hệ thống là an toàn và có thể ăn ngon ngủ kỹ là một sai lầm.

Firewall có bảo vệ được hệ thống tốt hay không còn do rất nhiều yếu tố chủ quan và khách quan.

Nhưng với tiêu đề của Topic [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay không?"

Tôi đang muốn xoáy vào việc bảo vệ thông tin của một hệ thống là nên như thế nào?

Đâu sẽ là những nơi chứa ẩn mối nguy hiểm tiềm tàng nhất và dễ bị đánh gục nhất?

Tôi đồng ý với mrro về việc firewall có bug, đây là chuyện đương nhiên nên tôi mới nói firewall phải được update và kiện toàn chính nó một cách thường xuyên là vì vậy.

Xét trên bình diện tấn công để lấy cắp thông tin tôi nghĩ firewall không phải là nơi các attacker tập trung khai thác trước.
Trong bài trả lời của thangdiablo có một câu hỏi (tô đậm), mà tôi…

BKAV Pro vi phạm bản quyền phần mềm?(tt)

Trong entry trước tôi có nói là đã liên lạc với đám WinRAR để xác minh xem BKIS có mua license hay có written permission để thực hiện hai điều 4a và 4b hay không, và bây giờ đã có kết quả.

Bọn WinRAR đã trả lời là BKIS chưa hề có *written permission* để thực hiện hai cái quy định 4a và 4b.

Đây là trích đoạn 2 email tôi đã trao đổi với WinRAR:

Email đầu tiên của tôi:
To those it may concern,

We have found a commerical software named BKAV Pro, which is the most popular antivirus software in Vietnam produced by BKIS (http://www.bkis.com.vn), happens to embed a shareware version of rar.exe in one of its DLLs. You can check yourself by downloading BKAV Pro from http://north.bkav.com.vn/BPro1717.exe, installing it, then looking for Sysinfo.dll located in "%Program Files%\BKAV/"

As far as we know, this violates RAR archiver license agreement. We want to know if BKIS actually has purchased licenses or gained written permission from WinRAR to do this. Trả lời của WinRAR:
Hello Thai,

t…

BKAV Pro vi phạm bản quyền phần mềm?

Bác TQN ở HVAOnline vừa mới có một phát hiện thú vị:
Trước mắt, sơ bộ ta thấy BKAV Pro đã vi phạm bản quyền ở 2 điều sau:

1. Dùng BSD open source library diStorm64 mà không tuân theo luật của BSD.

2. Dùng shareware rar.exe của WinRAR, không có đăng ký và không có license cho từng máy cài BKAV Pro.

Hai soft này nằm trong file SysInfo.dll của BKAV Pro, file .dll này nằm trong thư mục %Program Files%\BKAV. Các reverser nào không ngại đụng chạm đến BKAV thì có thể phân tích file .dll này để kiểm chứng và đánh giá đúng sai.Về việc dùng BSD library, giấy phép BSD của diStorm64 có quy định (đoạn tô đậm là do tôi tô):The ultimate disassembler library.
Copyright (c) 2003,2004,2005,2006,2007,2008, Gil Dabah
All rights reserved.

Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:

* Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.

* Re…

Firewall có thật sự bảo vệ thông tin tuyệt đối hay không?

Anh conmale ở HVAOnline khơi nguồn một topic khá thú vị (ở chỗ nó giúp người đọc hiểu được những vấn đề cốt lõi của bảo mật hệ thống):
Một người bạn bảo tôi "Công ty tớ vừa trang bị một loạt stateful firewall, tốn mấy trăm nghìn đô la. Phen này tớ ăn ngon ngủ kỹ. Không phải lo bị tấn công nữa".

Thử dùng các yếu tố kỹ thuật và logic để phân tích xem câu nói trên:
- Đúng hoặc sai?
- Vừa đúng, vừa sai?
- Nếu đúng, tại sao đúng?
- Nếu sai, tại sao sai? Tôi có trả lời thế này:
Tôi sẽ hỏi lại, thế còn những tấn công nhằm vào cái firewall thì sao?Sau đó bồ thangdiablo có hỏi:
Khi đọc tới bài của mrro, mình thấy rất thú vị vì suy nghĩ đánh trực tiếp vào firewall của mrro.

Thế nhưng, để đạt được mục tiêu ( giả thiết là triệt hạ một con webserver nào đó nằm sau firewall ) thì việc đánh trực tiếp vào firewall trước hay lách qua firewall để đánh vào webserver cái nào dễ hơn?

Vì theo mình nghĩ, với kỹ năng cấu hình firewall một cách căn bản nhất, chịu khó update các sig và firmware thì việc đánh …

pseudo intellectual

Image
Dạo này vui quá, ra đường, lên mạng, đọc blog, tán dốc thấy cộng đồng pseudo intellectual ngày càng vững mạnh. Tôi mới vừa được họ kết nạp làm thành viên (không cần phải là Đảng viên mới được gia nhập), nên giờ liệt kê ra đây một số kinh nghiệm, để bà con có thể theo đó mà gia nhập hội.

Để trở thành một pseudo intellectual vừa khó mà vừa dễ, vừa ảo mà vừa thật. Bước đầu tiên là lên Amazon, mua một số cuốn sách triết học phương Tây hay phương Đông hay Châu Phi cũng được. Cứ ngẫu nhiên mà mua, không cần lựa, nhưng cũng nên chú ý mua của mấy ông trong danh sách triết gia vĩ đại nhất.

Thực tế, nếu muốn trở thành một pseudo intellectual thứ thiệt, bạn không cần phải mua sách làm gì cho phí tiền, chỉ cần đọc review, lên Wikipedia coi tóm tắt tiểu sử con cái vợ chồng của ông tác giả là đủ. Nhớ là phải ghi những ý tưởng chính của mấy ông này hoặc sách của ổng nhé. Ghi cái gì cũng được, càng khó hiểu càng tốt, bạn cũng chẳng cần phải hiểu chi cho mệt xác.

Tiếp theo đó là lên viết blog, cài blast,…

Động đất ở VN

Image
Hôm rồi tôi có đọc cái topic "Động đất ở VN" trên diễn đàn Thanh niên xa mẹ, thấy nhiều điều thú vị phết. Tóm tắt lại để mọi người dễ hiểu: một em gái tên Chóng vào diễn đàn lớn có xu hướng *kháng khựa*, kêu gọi các anh trai chị gái ở đó đóng góp để cứu trợ cho nạn nhân trận động đất vừa rồi ở Trung Quốc. Có thể xem thêm tổng kết ở đây.

Tôi thấy cuộc tranh luận giữa em Chóng với các thành viên của TNXM thể hiện rất rõ bản chất của một cuộc tranh luận trên Internet. Nó có khá đầy đủ các cấp độ tranh luận khi hai phe không đồng ý với nhau, mà Paul Graham gọi là disagreement hierarchy. Em Chóng đưa ra các lập luận ABC, các bác khác đưa ra lập luận XYZ, nhưng có quá ít lập luận tập trung vào ý chính của toàn bộ topic "có nên quyên tiền cứu trợ cho TQ hay không?" mà chủ yếu là đả kích cá nhân, dè bỉu, xỉ vả và chửi bới lẫn nhau.

Cuối cùng những cuộc tranh luận thế này sẽ chẳng dẫn đến đâu, bởi những ý kiến duy lý tỉnh táo thường rất ít so với những nhận định cảm tính nón…