28 Comments

Hi Anh/Em,

Mình là người được nhắc tới trên báo Lao Động (LĐ). Khi đọc bài báo xong thì chính mình cũng như anh em cảm thấy bức xúc với những gì báo viết. Bài báo vừa sai ở góc nhìn kỹ thuật và gây hiểu lầm về thông điệp truyền tải (ví dụ: sai khái niệm VPN thành MFA ở lần đăng đầu hoặc “giật tít câu view”).

Sau nhiều ngày liên hệ với người phỏng vấn mình để chỉnh sửa bài viết nhưng nhận lại là sự im lặng. Ngày 5/5/2023, mình đã quyết đinh email thẳng tới tòa soạn như sau: https://prnt.sc/nWU0RdH0znV4

Tòa soạn có hứa sẽ cập nhật nhưng toàn soạn chưa sửa đúng với những gì mình muốn truyền đạt dù mình đã phải cẩn thận sửa và đưa vào link Google docs để họ sửa theo.

Về chuyện “**Nguy cơ mất sạch tiền vì chuyển khoản qua wifi miễn phí” -** mình cho rằng đây là cách “giật tít câu view” của giới báo trí. Cái mình muốn truyền thông đến độc giả là những nguy cơ mất an toàn và cách để tự bảo vệ mình, mà báo lôi cái bank ra cho dễ hù người. Ví dụ đơn giản đã có lần mình tận mắt chứng kiến 1 bạn dùng FTP để upload code ngay tại quán cafe → đây chính là các hành động mất an toàn của một người hiểu về công nghệ.

Trước đó, nhiều anh em cũng có trò chuyện với mình để hỏi và mình cũng có giải thích cho rõ thông điệp mình muốn truyền tải khác với báo trí giật tít và nội dung thì sai. Nay tiện bài của anh Thái thì trình bày luôn cho anh em một thể. Cảm ơn anh em đã quan tâm!!!

Expand full comment

Báo chí VN thì nói chung là như C

Expand full comment

Đây là 1 bài toán thú vị. Anh Thái có nghĩ 1 ngày nào đó AI có thể làm 1 cái fact checker có thể run bất kì chỗ nào trên mạng internet? Như bài viết của báo Lao Động về web security là technical thì AI chỉ cần scan qua là fact check được. Còn những cái phức tạp hơn như tin tức thì có thể sẽ challenging hơn, vì tin tức thì không biết đâu là source of truth.

Expand full comment

Ý kiến hay

Expand full comment

Vấn đề của sự hoài nghi là nó làm tăng cost của information processing. Thought experiment: bạn học 1 khóa học về computer networking, thay vì mua một cuốn textbook của 1 tác giả thì bạn quyết định mua cùng lúc 3 cuốn sách đọc để kiểm tra chéo độ chính xác về thông tin?

Vậy vấn đề ở đây không phải là giữa 2 thái cực tin hay không tin mà là ở "tin bao nhiêu thì vừa đủ?" Về mặt vô thức, mỗi chúng ta sẽ tự đặt ra một giá trị về độ tin tưởng với một nguồn thông tin và dùng giá trị đó để định lượng việc chúng ta bỏ ra nhiêu công sức kiểm tra chéo khi thấy một thông tin đưa ra từ nguồn đó "có vẻ hơi sai sai".

Phát minh vĩ đại đưa Google lên thành big tech là thuật toán "Page rank": chỉ số đáng tin của một website là dựa trên trung bình cộng của các chỉ số đáng tin của các trang web khác trỏ về nó, chạy thuật toán này cho đến khi chỉ số Page Rank converge. Chúng ta sẽ rất tin tưởng các phát ngôn từ một người nếu tình cờ chúng ta gặp được 3 nhà khoa học Nobel độc lập đánh giá "người này thường đưa ra các phát ngôn rất đáng tin". Biết đâu ngày nào đó sẽ có người tạo ra social network thay Twitter và dùng Page Rank algorithm để đánh giá phát ngôn nào đủ đáng tin để đưa lên trang đầu ;-)

Expand full comment

woh, anh nêu ví dụ của Gell-Mann hay quá! Không những báo chính đáng tin cậy " tạm gọi là dòng chính" và các chuyên gia đầu ngành trong các lĩnh vực đều có thị bị hội chứng nêu trên! và đương nhiên số đông còn lại bị dắt mũi bới truyền thông là lẽ thường tình! Câu trả lời là giải pháp là anh có thể thiết lập một thực thể kết hợp "2 in 1" để giải quyết tình trạng trên không?

Expand full comment

Liệu hacker có thể làm giả điểm phát sóng, lừa người dùng kết nối vào để nghe lén thông tin như 1 hình thức Man-in-the-middle không?

Expand full comment

Làm vậy thì trình duyệt sẽ báo động khi nhận được chứng thư giả (TLS certificate), kiểu như ở đây: https://self-signed.badssl.com/. Người dùng phải bấm thêm hai lần nữa, bỏ qua hoàn toàn cảnh báo của trình duyệt thì mới lọt vào bẫy của kẻ xấu.

Đa số người dùng xài app ngân hàng để làm giao dịch. Có thể có app không kiểm tra chứng thư đúng cách, nhưng kể cả như vậy thì việc cần làm là sửa app ngân hàng, chứ không phải kêu người dùng đừng xài WiFi công cộng nữa.

Expand full comment

Với trình độ người dùng phổ thông thì khả năng cao thì họ sẽ Yes, Accept, Next cái chứng thư fake đó.

Đâu phải ai cũng có trình độ và ý thức cảnh giác.

Cho nên nói không nên dùng wifi công cộng cũng là có cơ sở.

Expand full comment

Tôi đồng ý có khả năng sẽ có người click through, nhưng từ chỗ đó khuyên tất cả mọi người không xài WiFi công cộng thì rất phi thực tế.

Người ta sẽ vẫn xài WiFi công cộng. Nếu MITM là một rủi ro thật sự, thì thông điệp cần phải truyền tải là không tiếp tục khi nhận được cảnh báo của trình duyệt.

Bạn có biết trường hợp nào dùng WiFi công cộng và bị lừa mất tiền hay thông tin chưa? Tôi chưa từng nghe thấy trường hợp nào như vậy.

Expand full comment

App NH phải check cái cert có phải chính chủ nữa ko nhé bạn. Keyword ssl pinning.

Expand full comment

Thường thì các ngân hàng đều dùng two-way authentication cho việc này rồi

Expand full comment

Dùng DNS poisoning chuyển người dùng về trang máy chủ giả, rồi cho cho người dùng nhập thông tin trang web không có SSL. Vẫn mất tiền.

Expand full comment

DNS poisoning không tấn công được người dùng app đâu.

DNS poisoning có thể tấn công được người dùng trình duyệt, nếu họ truy cập trang web ngân hàng qua HTTP. Tuy nhiên, nếu họ đã từng tuy cập trang web ngân hàng trước đó rồi thì browser sẽ nhớ và sẽ luôn dùng HTTPS.

Vả lại các browser cũng đã bắt đầu hỗ trợ DNS over HTTPS, nên vấn đề này rồi cũng sẽ biến mất.

Expand full comment

Theo mình, về mặt lý thuyết là hoàn toàn có thể

Expand full comment

Về mặt lý thuyết thì đi ra đường hoàn toàn có thể sẽ bị xe cán chết, nên tốt nhất là ở nhà.

Expand full comment

Về mặt lý thuyết, lái xe ra đường khi chưa có kỹ năng hoàn toàn có thể tai nạn chết, vậy nên tốt nhất là đi xe công cộng. (Người ta đâu có khuyên ở nhà đâu ạ)

Expand full comment

Về mặt lý thuyết thì đi xe công cộng vẫn có thể dính tai nạn mà bác :) Cơ bản là nếu cực đoan quá thì sẽ ko làm được gì cả. Không nói tới chuyển tiền, ngay việc ăn cơm cũng có thể ngộ độc chết nữa là :)

Expand full comment

Hmm em thấy chỉ có thể bị hack thật trong trường hợp bị DNS spoofing và dùng browser để vào web ngân hàng. Nhưng mà bây giờ em không hiểu lý do gì mà tới giờ họ vẫn chưa dùng app, nó vừa nhanh lại tiện hơn bao nhiêu :v

Expand full comment

Ý kiến cá nhân là dùng wifi công cộng có thể bị lừa đăng nhập một trang fake login (do bản ghi DNS của wifi đã bị thay đổi) do vậy bài báo kia cũng có phần đúng.

Expand full comment

Dùng 3g,hay wifi free đều có rủi ro thế nhưng bài báo lại hướng người dùng xài 3g . 3g xài hạ tầng của nhà nước qly chăng. Còn wifi thì có nhieu ông fpt,cmc,...

Expand full comment

E cũng đã tin là dùng wifi miễn phí có nguy cơ bị hack. Đọc xong bài blog của anh Thái thì em lại hoài nghi là có hay không nếu attacker dùng exploit chains phức tạp như phishing malware từ đó chiếm quyền điều khiển thiết bị người dùng, rồi từ đó mới hack tài khoản ngân hàng. Có một đoạn video của kaspersky cũng nói đến việc này https://youtu.be/XcghUy-8VRA?t=50 (video đã 6 năm trước)

Expand full comment

Chủ yếu là hù người ta để bán 3G, 4G thôi anh ơi :D Nhiều thông tin rất thú vị, như Battle Cry là kênh chính sử của chính quyền, tức CNXH phải ủng hộ CNXH, nhưng chả hiểu gì về câu "ơn đền oán trả" hay phân biệt đâu là bạn, đâu là thù cả. Lên mạng đọc vài bài báo tiếng Anh nói về Mao, xong chửi Mao như đúng rồi, trong khi thực sự nếu là kênh của chính quyền thì nên biết rằng Mao Chủ tịch giúp Việt Nam thời chiến tranh, còn Đặng Tiểu Bình mới là người lệnh cuộc chiến biên giới năm 1989.

Thế mà chửi Mao không tiếc lời, nói giảm dân số ,trong khi thời Mao dân số tăng lên gấp cả 10 lần. Và khen Đặng không tiếc lời.

Expand full comment

Anh Thái có theo dõi vụ thanh niên 27 tuổi hack 10 tỷ của ngân hàng là sao không ạ :D

Expand full comment

Tôi có. Rất tò mò không biết bạn ấy hack ai và thế nào :)

Expand full comment

Tự xác minh bằng lý luận thôi anh.

Expand full comment

Các app ngân hàng e đoán là phải có SSL Pinning. Nếu không chả ai dám xài app của họ :(

Nhưng nếu người dùng không biết gì (như tầm tuổi bố mẹ em, 50 - 60), thì khi bị lừa cài cert rởm cũng không biết mình bị lừa.

Bằng cách nào đó, e thấy nên nâng cao hiểu biết của mọi người về chủ đề này, khi mà Internet gần như trở thành như cái tay, chân của hầu hết mọi người.

Đôi khi em lướt qua HNs thấy những chia sẻ bằng truyện tranh rất dễ thương về cách mà các dịch vụ Internet cơ bản hoạt động, e nghĩ đó cũng là cách hay để truyền đạt kiến thức tới nhiều người hơn, nhiều lứa tuổi hơn,... để họ có thể thận trọng khi gặp những tình huống bất thường.

Với tình trạng tri thức trở nên chuyên môn hoá cao độ như hiện nay, đúng là chỉ có hai cách: xây dựng hệ thống kiến thức từ móng (có thể tính bằng năm trời để có hiểu biết cơ sở trong lĩnh vực nhất định), uỷ quyền/đặt niềm tin vào chuyên gia.

Nhưng nếu thay vì chỉ lắng nghe ý kiến của một chuyên gia, thì sẽ ra sao nếu có bàn thảo luận công khai để nhóm các chuyên gia có thể trao đổi và đưa ra nhận định cho những thắc mắc chung của công chúng?

Hoặc nếu AI đủ tốt hơn có thể phản biện những nhận định từ vô số tài liệu tham khảo mà nó "học" được và đưa ra trích dẫn tới những tài liệu ấy (cùng uy tín và ảnh hưởng của nó, nếu có thể) để những người thận trọng hơn có thể tự kiểm tra?

Expand full comment

Nhiều người làm việc ngoài quán cafe thì hay giao dịch bằng Web vì tiện, mà không biết công nghệ.

Nếu bị lừa cài cert mới được dùng wifi thì dễ ăn đòn MITM lắm.

Expand full comment