Vàng hay bạc nhái
Ở chỗ tôi làm, cứ một hai tháng sẽ có một công ti đến xin trình bày các giải pháp hay sản phẩm IT của họ. Tôi thường được sếp đề nghị tham dự các buổi trình bày đó nếu như đề tài có liên quan đến bảo mật. Nói chung, các buổi trình bày thường không để lại ấn tượng gì nhiều, bởi đa số các công ti này đều chỉ là reseller cho những giải pháp có sẵn của một vài hãng có tên tuổi trên thế giới. Họ thường là dân sales, thành ra đối với một thằng làm kĩ thuật như tôi thì những gì họ nói không đem lại nhiều hứng thú. Tuy nhiên, khi biết tin là đầu giờ chiều sẽ có một công ti làm về dịch vụ bảo mật khá nổi tiếng ở VN đến trình bày, tôi đã háo hức chờ đợi.
Ấn tượng đầu tiên là họ đến trễ hơn lịch hẹn 30'. Họ hẹn 2h nhưng mãi đến 2h30 mới xuất hiện. E hèm, vậy thì chắc chỉ nghe được các đồng chí này nói trong 30' thôi, 3h tôi đã có một cuộc hẹn rất quan trọng khác. Thêm 10' chuẩn bị nữa, 2h40 họ bắt đầu nói. Khác với các công ti reseller, hai người trình bày hôm nay là hai người VN. Họ là hai trong số ít người VN đạt được chứng chỉ CISSP, thành ra tôi đã nghe nói về họ khá nhiều từ trước nhưng đây cũng chỉ mới là lần gặp đầu tiên. Ấn tượng thứ hai là người trình bày chính ăn nói quá tệ. Tôi có cảm giác rằng đây là lần đầu tiên anh này đi gặp khách hàng hay sao đó, nói chuyện cứ run rẩy, ấp a ấp úng, không có biểu hiện gì của sự tự tin cả. Cũng may là người thứ hai ăn nói lưu loát hơn nên tôi cũng nắm được những ý chính trong cái slide mà họ trình bày.
Đại loại họ là một công ti làm về dịch vụ bảo mật với các dịch vụ thông thường như penetration test, security auditing, computer forensic, ISO 17799 consulting, training...Họ mở đầu bằng cách giới thiệu về công ti, một tập hợp "các chuyên gia hàng đầu VN trong lĩnh vực bảo mật" rồi liệt kê một loạt các chứng chỉ mà họ có được cũng như danh sách các security partner và khách hàng hiện tại của họ. Sau đó họ bắt đầu giảng giải về các dịch vụ, lợi ích của các dịch vụ này là gì, cách thức họ tiến hành ra sao...Nói chung người trình bày dở cộng thêm cái slide không có gì hấp dẫn làm cho những người tham dự như tôi hết sức...buồn ngủ. Cuối cùng thì họ cũng trình bày xong, sau hơn 30' ậm ừ ậm ừ. Chà xong rồi ư, sao không thấy có cái gì đó nổi bật hết nhỉ?
Thật tình nghe họ nói xong, tôi hầu như chẳng còn có chút hứng thú nào để tiếp tục cuộc họp đó. Một công ti làm về bảo mật mà hầu như chẳng có một chút thông tin nào về R&D của họ thì giống như tự nhận là nhà khoa học mà chẳng công bố nổi một công trình nào cả. Anh làm penetration test ư? Anh tư vấn về các giải pháp bảo mật ư? Anh điều tra các vụ án CNTT ư? Anh là các chuyên gia hàng đầu ư? Vậy hãy nói cho tôi biết kết quả R&D của anh. Hãy chỉ cho tôi thấy những lổ hổng mà anh đã công bố. Hãy chỉ cho tôi thấy những attack vector mới mà anh đã tìm ra. Hãy chỉ cho tôi thấy những con worm mà anh đã phân tích. Hãy chỉ cho tôi thấy những phần mềm mà anh đã phát minh. Hãy chỉ cho tôi thấy những cuốn sách mà anh đã viết. Hãy chỉ cho tôi thấy những bài báo kinh điển mà anh đã công bố. Hãy chỉ cho tôi thấy những hoạt động của anh tại các sự kiện về bảo mật và hacking lớn trên thế giới. Hãy chỉ cho tôi thấy tay nghề của anh hơn là nói cho tôi biết những bằng cấp mà anh có!
Tôi bỏ dở cuộc họp giữa chừng. Buổi tối về nhà, tôi thử truy cập vào website của họ để xem như thế nào. Poke around một hồi tôi thấy họ xài dịch vụ share hosting với một vài lổ hổng nho nhỏ trong cái phần mềm CMS mà họ sử dụng. Ôi trời, vàng hay bạc nhái?