Trả Lời Phỏng Vấn BBC Việt Ngữ Về Bluezone - Vnhacker Blogspot

Trang chủ » Bluezone Biết Bạn Cặp Bồ Với Ai » Trả Lời Phỏng Vấn BBC Việt Ngữ Về Bluezone - Vnhacker Blogspot

Có thể bạn quan tâm

Skip to main content

Trả lời phỏng vấn BBC Việt Ngữ về Bluezone

August 07, 2020 (Một phần phỏng vấn được BBC đăng ở đây)1. Anh có thể cho biết cơ chế hoạt động của Bluezone để hỗ trợ người dùng cũng như các cơ quan nhà nước Việt Nam trong việc phòng chống dịch Covid-19?Thưa chị, Bluezone là một ứng dụng điện thoại giúp phát hiện ai đã tiếp xúc với ai, thông qua sóng Bluetooth Low Energy. Bluezone giúp cơ quan nhà nước Việt Nam thực hiện truy vết tiếp xúc (contact tracing), để phát hiện nguồn lây nhiễm (F0) và những ai có nguy cơ phơi nhiễm (F1, F2, v.v.). Người sử dụng Bluezone sẽ biết được họ từng tiếp xúc với F0 hay F1 nào không.Trên lý thuyết là như vậy, còn thực tế hiệu quả và độ chính xác như thế nào thì tôi không có đủ thông tin để đánh giá.2. Sau cập nhật mới nhất, liệu Bluezone còn những lỗ hổng nào mất an toàn cho người dùng không? Quyền riêng tư của người dùng được đảm bảo tới đâu?Trước khi trả lời câu hỏi này, tôi muốn kể một chút về “duyên nợ" của tôi với Bluezone. Khi Bluezone ra mắt vào khoảng tháng 4/2020, tôi có tìm hiểu cách thức hoạt động và phát hiện một số lỗi bảo mật ảnh hưởng đến sự an toàn và riêng tư của người dùng. Tôi gửi một báo cáo cho nhóm Bluezone và công bố trên blog cá nhân vì tôi nghĩ rằng nhiều người cần biết thông tin đó.Ban đầu nhóm Bluezone và những người ủng hộ họ tìm nhiều cách để phản biện báo cáo của tôi, trong đó có cả tấn công cá nhân. Tôi học được rằng chỉ ra cái sai, cái ẩu của những lập trình viên quốc doanh là không yêu nước. Sau đó phần vì tôi bận việc, phần vì nói mãi mà họ không chịu sửa nên tôi cũng nản, tôi không còn theo dõi Bluezone nữa. Có vẻ như dự án cũng dừng lại.Khi dịch bùng nổ trở lại ở Việt Nam, tôi đoán trước sau gì Chính phủ Việt Nam sẽ yêu cầu người dân cài Bluezone. Người không hiểu gì về chính trị như tôi -- thú thật với chị mấy nay tôi cũng hơi hoang mang, không biết ở tuổi tôi đi học cờ vua có muộn quá không? -- chỉ còn biết cách đóng góp bằng chuyên môn. Tôi lại mở Bluezone ra xem và như tôi viết trên blog cá nhân, bằng cách phân tích phiên bản Android mới nhất (2.0.4, phát hành ngày 4/8/2020), tôi thấy Bluezone đã sửa chữa những lỗ hổng quan trọng nhất mà tôi đã loan báo hồi tháng 4. Ngoài ra, nhờ nỗ lực thuyết phục của giáo sư Phan Dương Hiệu ở Pháp, Bluezone cũng đã khắc phục một nhược điểm quan trọng khác. Người ta nói phải ở Việt Nam mới đóng góp được cho đất nước, nên sắp tới có lẽ tôi phải tìm cách VPN ngược về Việt Nam rồi mới dám có ý kiến tiếp.Cách làm hiện tại của Bluezone khá giống với cách làm của Singapore. Máy chủ sẽ thu thập hết lịch sử tiếp xúc (contact history) của F0, F1, F2. Tập trung tất cả dữ liệu ở một chỗ sẽ giúp việc truy vết dễ dàng và hiệu quả hơn, nhưng điều đó cũng có nghĩa là Bluezone, tức nhà nước Việt Nam, sẽ biết được ai đã gặp ai, trong bao lâu, vào lúc nào. Từ thông tin này có thể suy ra được ai quen ai, tức social graph của phần lớn quan chức và dân chúng. Đây là thông tin rất nhạy cảm, vì nó tiết lộ, chẳng hạn như, ai đang cặp bồ với ai. Giữa trưa mà thấy hai số điện thoại liên tục trao đổi “mã số" cả tiếng đồng hồ là có thể đoán được họ chỉ đang nằm ôm nhau cho đỡ rét thôi.Bluezone sẽ có được social graph của cả nước và người nào nắm được social graph sẽ có nhiều cách kiếm quyền và tiền. Cả đế chế của Facebook được xây dựng dựa trên social graph. Đây là lý do nhiều nước không chọn cách làm này, vì e ngại tập trung quá nhiều thông tin vào một chỗ sẽ dễ dẫn đến lạm quyền. Google và Apple cũng đã xây dựng một công nghệ truy vết cài sẵn trên Android và iOS, nhưng công nghệ này cũng không tiết lộ social graph cho phía máy chủ.Dẫu vậy tôi nghĩ giải pháp của Bluezone phù hợp với tình hình văn hóa, xã hội ở Việt Nam. Dân ai cũng muốn dịch qua cho nhanh để còn quay lại cuộc sống bình thường, có hi sinh một chút riêng tư và mất một chút thông tin cá nhân cũng ít ai phàn nàn. Người dân nói chung là tin tưởng Chính phủ, Chính phủ kêu cài Bluezone là cả chục triệu người cài liền. Vấn đề chỉ là Bluezone sẽ bảo vệ dữ liệu ra sao và làm sao để đảm bảo không bị lạm quyền. Hiện giờ Bluezone chưa có cung cấp thông tin gì về chuyện này. Chính phủ và Bluezone cũng cần phải cam kết sẽ xóa hết dữ liệu một khi dịch bệnh đã qua.3. Thưa anh, tại sao cần có sự đảm bảo của CP và nhóm phát triển về việc chỉ sử dụng data vào mục đích chống dịch? Ai sẽ giám sát cam kết này?Vì dân nghe lời kêu gọi của Chính phủ cài đặt Bluezone là để chống dịch và chỉ chống dịch mà thôi. Thỏa thuận giữa hai bên rất đơn giản: dân cung cấp dữ liệu cho Chính phủ để cùng Chính phủ đẩy lùi dịch bệnh. Nếu Chính phủ hay nhóm phát triển Bluezone sử dụng dữ liệu cho việc khác tức là đã đi ngược lại với thỏa thuận đó.Thụy Sĩ cũng có một ứng dụng giống như Bluezone tên là SwissCovid. Mặc dù SwissCovid không lưu dữ liệu tập trung trên máy chủ, tức là an toàn hơn Bluezone, nhưng để tăng sức thuyết phục dân chúng, Chính phủ Thụy Sĩ đã ban hành một đạo luật ghi rõ cách thức hoạt động của SwissCovid và cam kết ứng dụng sẽ được vô hiệu hóa ngay khi không còn cần đến nữa. Tức là họ luật hóa thỏa thuận giữa hai phía và thực hiện giám sát bằng luật.Việt Nam không có luật về Bluezone, nhưng Chính phủ có thể ban hành nghị định ghi rõ dữ liệu Bluezone chỉ dùng để chống dịch, sẽ được xóa trong bao nhiêu ngày kể từ khi Việt Nam tuyên bố hết dịch, rồi thuê hoặc chỉ định một cơ quan giám sát độc lập. Dân càng tin tưởng thì Chính phủ phải càng minh bạch, có vậy mới bền lâu được.4. Liệu có khả năng tin tặc đột nhập vào hệ thống dữ liệu của Bluezone không? Nếu có thì có thể dẫn đến hậu quả nào?Như đã nói ở trên, ai đột nhập vào hệ thống dữ liệu của Bluezone sẽ có được social graph của cả nước tất cả người dùng Bluezone. Ngoài ra, họ còn có thể phá hoại bằng cách biến một người bất kỳ thành F0, F1 hay F2. Tức là họ có thể khiến nhiều người bị cách ly và khiến các cơ quan y tế phải tốn công sức kiểm tra những người không bị bệnh.Hiện giờ có rất ít thông tin về cách Bluezone thiết kế và bảo vệ hệ thống dữ liệu, nên tôi không thể đánh giá chính xác được. Dựa vào chất lượng của những gì mà Bluezone đã công bố, tôi nghĩ Chính phủ Việt Nam phải hết sức thận trọng và nên thuê một bên thứ ba đánh giá độc lập cách làm của nhóm Bluezone.5. Khi cài và sử dụng Bluezone, người dùng cần lưu ý điều gì?Trước tiên, lịch sử tiếp xúc và social graph của mỗi người nhiều khả năng sẽ được máy chủ Bluezone thu thập và lưu trữ lâu dài. Nên điều chỉnh lịch ôm nhau cho phù hợp.Bluezone có hỏi số điện thoại khi đăng ký. Kỳ thực không nhập số điện thoại không ảnh hưởng gì mấy đến hoạt động của ứng dụng, nhưng giúp người dùng phần nào trở nên ẩn danh trên hệ thống của Bluezone. Nếu là tôi, tôi sẽ không nhập số điện thoại cho đến khi nào được xác định là F0.Cuối cùng, Bluezone kỳ thực không phải là khẩu trang. Khẩu trang có tác dụng phòng chống và hầu như không có tác dụng phụ. Bluezone không giúp chống lây nhiễm virus, mà chỉ giúp phát hiện có ở gần ai bị bệnh hay không. Mỗi người vẫn nên đeo khẩu trang và thực hiện giãn cách xã hội.Đính chính: Một phiên bản trước đây của bài này tôi viết rằng "Ai đột nhập vào hệ thống dữ liệu của Bluezone sẽ có được social graph (đồ thị tiếp xúc xã hội) của cả nước". Nói "cả nước" là chưa chính xác, vì Bluezone chỉ có dữ liệu của những ai đã cài Bluezone mà thôi. Vì đa số người dân đã và sẽ cài Bluezone, nên thật ra nói "cả nước" cũng là một xấp xỉ tốt. Xin chần thành cảm ơn anh Phan Dương Hiệu đã nhắc chỗ này.Xin chân thành cảm ơn Uncle Sundar đã tài trợ chương trình ăn cơm Mỹ mà tối ngày lo cho Việt Nam.

Comments

Severus said… phần graph cần chỉnh rõ là khi nào phát hiện F0 lúc đó mới cần contacts gửi lên server, có nghĩa là trong điều kiện bình thường sẽ không phải lo ngại việc chuyển dữ liệu lên server, chỉ trong trường hợp bắt buộc phải trace từ F0 mới cần đã gặp ai, cái này vì mục đích y tế cộng đồng nên không tính là vi phạm privacy. Trường hợp biết ai đã gặp ai em cho rằng bên y tế không cần quan tâm họ làm gì, mà chỉ cần quan tâm họ có bị nhiễm hay không, một người trung bình sẽ gặp trên 10 người một ngày kể cả đồng nghiệp thì việc họ làm gì là privacy của họ, không có quyền hỏi về phía y tế như giả sử kẹt xe 1 tiếng cũng quét hết xung quanh vậy. 8:20 PM Thai Duong said… >phần graph cần chỉnh rõ là khi nào phát hiện F0 lúc đó mới cần contacts gửi lên server, có nghĩa là trong điều kiện bình thường sẽ không phải lo ngại việc chuyển dữ liệu lên server, chỉ trong trường hợp bắt buộc phải trace từ F0 mới cần đã gặp ai, cái này vì mục đích y tế cộng đồng nên không tính là vi phạm privacy.Theo lý thuyết là vậy, nhưng hiện giờ máy chủ có toàn quyền quyết định lấy dữ liệu bất kỳ lúc nào mà không cần có sự đồng ý của người dùng. Thành ra nói chỉ khi nào trở thành F0 thì mới đưa dữ liệu lên máy chủ không còn chính xác nữa. Dữ liệu có thể sẽ được đưa lên bất kể khi nào máy chủ muốn, kể cả đối với những người có phải là F hay không. Tôi sẽ cung cấp bằng chứng và cách để mọi người reproduce cái này.Có thể máy chủ sẽ không bao giờ làm vậy, nhưng câu hỏi là làm sao chúng ta có thể kiểm tra được nếu họ không cam kết và không cung cấp thông tin cách họ làm trên máy chủ? 9:39 PM hhdtuan said… Mình thấy về cơ sở pháp luật thì đã có Luật An toàn thông tin mạng năm 2015 có thể cover cho case này rồi chứ nhỉ? 1:28 AM Thai Duong said… Severus: tôi cung cấp bằng chứng ở https://github.com/thaidn/bluezone. 7:19 AM Unknown said… BBC VN là 1 bè lũ 3 que, thêm tác giả cũng là nhân viên của Google thì rặt 1 đàn 3 que, người dân VN khi đọc bài nên cẩn thận đừng nhẹ dạ cả tin vỉ đám 3 que luôn mưu đồ chống phá Đảng Cộng Sản VN bằng những thứ bịa đặt như chủ đề nhân quyền và riêng tư 1:36 AM tritgamer said… Cái thằng ngu này, không biết là trình độ, sự nghiệp và địa vị của mày có bằng 1 cọng lông chân của anh Thái ko mà dám ý kiến ý cò gì. Gì mà ba que ba quiếc gì ở đây, lại còn chống Đảng nữa???Wtf mày? Một blog về IT lại có những thành phần vô học, dlv lương tháng 3 củ vào cắn nữa, cố gắng mà làm tốt việc dlv tháng lãnh lương 3 củ của mày nhé :))) 10:26 PM thaind said… > không biết là trình độ, sự nghiệp và địa vị của mày có bằng 1 cọng lông chân của anh TháiXin lỗi nhưng chắc bạn cũng dạng cứt tây thơm hơn cứt ta đúng ko? Lên xiao lone sự nghiệp xong ko hề có 1 cái dẫn chứng gì (cái gì cũng ghi tôi là 1 phần trong team đã làm ra cái abcxyz thì ai chả nói được, đến cái github cá nhân còn chả được cái project nào ra hồn).Muốn bình xét vấn đề gì thì phải tới từ 2 phía cháu ạ, đừng metay thế. À mà nếu cháu sống ở Canadumb hay Chinada thì chú cũng ko lấy làm ngạc nhiên. 8:19 PM Unknown said… Em cũng học bách khoa, rất hâm mộ anh, nhưng cái cách anh nhìn nhận vấn đề em thấy hơi sai rồi, mong anh hãy tập trung vào chuyên môn đóng góp tốt cho công ty chủ quản của mình thay vì tìm cách bới móc công nghệ ở Việt Nam.Đọc blog của anh, em biết anh không có thiện cảm gì với chính phủ Việt Nam và cái cách anh chỉ trích công nghệ thông qua BBC cũng chỉ là cái cớ cho anh bày tỏ quan điểm này. Vì thực tế dự án đó cũng không ảnh hưởng gì đến anh và thú thật em cũng cảm thấy anh không quan tâm gì đến người dùng thực sự ở Việt Nam mà chỉ quan tâm đến luận điểm của anh là chính. Dự án này nằm dưới sự giám sát của chính phủ và được tư vấn bởi rất nhiều nhân tài khác trong nước, việc chính phủ có thông tin cá nhân của cả Việt Nam này cũng là chuyện bình thường không có gì sai cả.Em chúc anh sẽ thành công hơn trong công việc và cuộc sống, thật đáng tiếc khi thấy quan điểm của anh lại như thế này. 10:50 PM Thai Duong said… Unknown: wow, wait, I thought you were at KMA [1]? You gotta tell me how on earth you could manage to drop out of KMA in the north and get accepted to HMCUT in the south. In 4 months, during a fucking pandemic, no way![1] https://vnhacker.blogspot.com/2020/04/lo-hong-nghiem-trong-trong-phan-mem.html?showComment=1587890883832#c574328133767636396 2:11 AM Unknown said… Mong anh đừng hiểu lầm, em chưa từng join hay comment bất cứ thứ gì trên blog của anh trước đây cả, tất nhiên em cũng không phải bạn tự xưng học bên KMA ấy. 12:29 PM Tri Vo - SliDesigner said… Well, that's clever. And I have to log in to comment to ask the same question: How to transfer to UT from KMA during the pandemic? If it's true.Kudos to Mr. Thai and Mr. Unknown.Cảm ơn anh Thái vì đã viết mấy bài vui và hay về bảo mật, CNTT, và Bluezone. 12:21 AM Post a Comment Loading...

Popular Posts

BEAST

September 25, 2011 Image So we gave a talk and a live demo at ekoparty last week to show how BEAST exploits a weakness in SSL to decrypt secret cookies. Please note that BEAST does not do any harm to remote servers. In fact, no packet from BEAST has ever been sent to any servers. We chose PayPal because they do everything right when it comes to server-side SSL, and that is good to demonstrate the power of BEAST, which is a client-side SSL attack. We reported the vulnerability to browser, plugin and SSL vendors several months ago (CVE-2011-3389). Current version of BEAST consists of Javascript/applet agents and a network sniffer. We have some choices for the agent. At the time we reported the bug to vendors, HTML5 WebSockets could be used to build a BEAST agent but, due to unrelated reasons, the WebSockets protocol was already in the process of changing in such a way that stopped it. We can't use the new WebSockets protocol shipped with browsers. We use a Java applet in this video, but please be aware... Read more

Làm an toàn thông tin thì học gì?

May 02, 2012 1 Giới thiệu Tôi nhận được thư từ của nhiều bạn hỏi về việc nên học gì và như thế nào để có thể tìm được việc làm và làm được việc trong ngành an toàn thông tin (information security). An toàn thông tin là một ngành rộng lớn với rất nhiều lĩnh vực. Những gì tôi biết và làm được chỉ gói gọn trong một hai lĩnh vực. Có rất nhiều mảng kiến thức cơ bản mà tôi không nắm vững và cũng có nhiều kỹ năng mà tôi không thạo. Hack tài khoản Yahoo! Mail là một trong số đó. Tôi cũng không biết cách tìm địa chỉ IP của bạn chat :-(. Xét theo  năm mức ngu dốt  thì tôi nằm ở mức "1OI - thiếu kiến thức" ở hầu hết các lĩnh vực trong an toàn thông tin. Cũng có lĩnh vực tôi nằm ở mức "2OI - thiếu nhận thức". Nhiều lần đọc sách vở hoặc nói chuyện với đồng nghiệp, tôi hay nhận ra rằng có nhiều thứ tôi không biết là tôi không biết. Theo ý của anh Ngô Quang Hưng thì đây là chuyện bình thường: Dân máy tính thường phải đọc/học rất nhiều để theo kịp sự phát triển với tốc độ ánh sáng của ng... Read more

Cảnh báo: lỗ hổng nghiêm trọng trong ứng dụng Bluezone

April 24, 2020 Image Cập nhật 3/8/2020: Bluezone đã sửa lỗi! Xem  https://vnhacker.blogspot.com/2020/08/cap-nhat-ve-bluezone.html . Cập nhật 31/7/2020 : bài này được viết từ hồi tháng 4/2020. Sau đó đội ngũ phát triển Bluezone đã có những chỉnh sửa để khắc phục các lỗ hổng liệt kê ở đây. Tuy vậy tôi vẫn chưa thấy họ công bố chính thức cách họ làm (cụ thể là cách họ tạo và thay đổi mã Bluezone ID). Tôi không biết mã nguồn mà họ đã công bố trên GitHub có phải là mã nguồn mới nhất hay không, nên nếu muốn đánh giá lại phải reverse engineering khá mất thời gian. Cuối tuần này tôi sẽ dành thời gian coi và sẽ gửi thông báo sau. Tóm tắt Bluezone là ứng dụng truy vết tiếp xúc , giúp cảnh báo nếu bạn đã ở gần người nhiễm COVID-19. Ứng dụng này do Chính phủ Việt Nam phát hành và được thực hiện bởi các doanh nghiệp công nghệ số Việt Nam gồm: Memozone, VNPT, MobiFone và BKAV. Ngày 18/4/2020 VnExpress dẫn lời Bộ trưởng Nguyễn Mạnh Hùng : Bluezone là bước tiến mới, có tính đột phá trong việc sử dụng công ngh... Read more

Library

  • 2023 2
    • March 1
    • February 1
  • 2022 11
    • October 1
    • September 1
    • August 1
    • July 2
    • May 3
    • April 1
    • February 1
    • January 1
  • 2021 39
    • December 2
    • November 2
    • October 5
    • September 3
    • August 10
    • July 5
    • May 1
    • April 2
    • March 3
    • February 3
    • January 3
  • 2020 60
    • December 4
    • November 11
    • October 4
    • September 6
    • August 8
      • So you want to roll your own crypto?
      • Reminder: Tìm việc ở Thung lũng Silicon
      • Section 230: the sword and armor of the Internet
      • Vietbay Sharing: Tìm việc ở Silicon Valley
      • Bằng chứng máy chủ Bluezone có thể âm thầm lấy dữ ...
      • Trả lời phỏng vấn BBC Việt Ngữ về Bluezone
      • Jonny Kim
      • Cập nhật về Bluezone
    • July 4
    • June 1
    • May 1
    • April 12
    • March 4
    • February 1
    • January 4
  • 2019 14
    • December 1
    • November 2
    • October 4
    • August 2
    • July 1
    • June 1
    • May 1
    • April 1
    • January 1
  • 2018 24
    • October 1
    • September 4
    • August 3
    • July 6
    • June 2
    • May 3
    • April 1
    • March 3
    • January 1
  • 2017 23
    • December 1
    • November 3
    • October 1
    • September 1
    • July 2
    • May 6
    • April 6
    • March 2
    • January 1
  • 2016 45
    • December 2
    • November 1
    • August 10
    • July 1
    • June 2
    • May 1
    • April 5
    • March 4
    • February 3
    • January 16
  • 2015 63
    • December 20
    • November 10
    • October 5
    • September 6
    • August 3
    • June 7
    • May 2
    • April 5
    • March 1
    • February 1
    • January 3
  • 2014 25
    • December 4
    • November 1
    • August 2
    • July 3
    • June 2
    • May 3
    • April 4
    • March 1
    • February 4
    • January 1
  • 2013 36
    • December 2
    • November 1
    • October 7
    • September 10
    • August 2
    • July 2
    • May 3
    • April 5
    • March 2
    • January 2
  • 2012 24
    • December 5
    • November 3
    • October 6
    • September 2
    • August 2
    • July 2
    • May 1
    • April 1
    • February 2
  • 2011 17
    • December 4
    • November 3
    • October 1
    • September 1
    • August 1
    • June 1
    • May 3
    • February 1
    • January 2
  • 2010 20
    • December 1
    • October 2
    • September 3
    • August 2
    • July 2
    • June 2
    • May 2
    • April 1
    • March 1
    • February 3
    • January 1
  • 2009 28
    • December 1
    • November 1
    • October 2
    • September 2
    • August 5
    • July 9
    • June 1
    • March 2
    • February 1
    • January 4
  • 2008 46
    • November 1
    • September 1
    • July 7
    • June 7
    • May 6
    • April 3
    • March 13
    • February 1
    • January 7
  • 2007 74
    • October 2
    • September 1
    • August 5
    • July 44
    • March 16
    • January 6
  • 2006 19
    • December 4
    • November 15
Show more

Security Research

  • The POODLE attack
  • The CRIME attack
  • BEAST: Surprising Crypto Attack Against HTTPS
  • Cryptography in the Web: The Case of Cryptographic Design Flaws in ASP.NET
  • Practical Padding Oracle Attacks
  • Flickr's API Signature Forgery Vulnerability
  • Zombilizing The Web Browsers Via Flash Player 9
  • Giám sát an ninh mạng
  • Một phương pháp chống DDoS bằng xFlash
  • Lỗ hổng nghiêm trọng của SSL/TLS

Từ khóa » Bluezone Biết Bạn Cặp Bồ Với Ai