post-image

Học An Toàn Thông Tin Khó Hay Dễ?

1. Tổng quan
Toan Nguyen
29-09-2021

Công nghệ thông tin là một lĩnh vực vô cùng rộng lớn. Việc định hướng tương lai theo mảng gì khá mơ hồ đối với những ai mới bước vào nghề. Series này được viết để chia sẻ kinh nghiệm và kiến thức từ khi mình mới bắt đầu với An toàn thông tin, nếu có ý định theo lĩnh vực này, hoặc các bạn có hứng thú muốn tìm hiểu thêm, mời các bạn tiếp tục.

An toàn thông tin là gì?

Với sự bùng nổ của thời đại công nghệ 4.0, nhu cầu sử dụng, thu thập, xử lý, lưu trữ và trao đổi thông tin, dữ liệu ngày càng lớn. Trong bối cảnh đó thì An toàn và bảo mật thông tin luôn là mối quan tâm hàng đầu của mọi cá nhân, tổ chức, đặc biệt trong môi trường Internet, một môi trường không được tin cậy.

Nhìn chung, An toàn thông tin đảm nhiệm việc bảo vệ dữ liệu, thông tin khỏi bị tấn công, truy cập trái phép, đánh cắp, sửa đổi, phá hoại và phát tán,… thông tin bất hợp pháp, đảm bảo 3 mục tiêu chính bảo vệ tài sản thông tin:

  • Tính toàn vẹn: Cung cấp đúng, chính xác thông tin
  • Tính bảo mật: Chỉ người được phép mới được truy cập
  • Tính sẵn sàng: Đáp ứng được ngay khi có yêu cầu

Làm An toàn thông tin tập trung vào những gì?

Ngành an toàn thông tin đang thiếu hụt nguồn nhân lực chất lượng cao khá nhiều, với nhiều lĩnh vực khác nhau. Như An toàn vận hành, phát triển công cụ, an toàn sản phẩm, tìm diệt mã độc và các nguy cơ khác, ….. Ở đây, mình sẽ giới thiệu về một số “thứ” tóm tắt như thế này:

  • Dịch ngược mã (Reversing): Nói cho ngầu và dễ tưởng tượng thì là bạn được cho 1 chương trình, nhưng lại không được cho source code, không biết nó hoạt động ra sao, thì bạn có thể sử dụng kỹ thuật dịch ngược, đọc và hiểu được cách thức hoạt động của chương trình đó. Với mục đích thường là xây dựng lại các module, phần mềm từ các chương trình dịch ngược đó,….
  • Khai thác lỗ hổng (PWN): Lỗ hổng phần mềm có thể được hiểu như là một trục trặc hoặc điểm yếu trong phần mềm hoặc trong hệ điều hành. Các hacker có thể phát hiện, truy cập, khai thác các lỗ hổng và tấn công hệ thống. Việc tấn công với mục đích xấu có thể gây thiệt hại. Học về mảng này chúng ta có thể tìm các lỗ hổng và báo cáo cho người ta, và tất nhiên sẽ được trả công, và nhiều thứ khác nữa…
  • Web: Tìm hiểu các cách tấn công mạng, chặn bắt các gói tin, phát hiện và xử lý các lỗ hổng web… . Ví dụ bạn có thể thay đổi nội dung 1 số trang web (Với cái này là demo để biết chứ không được phép làm vì nó vi phạm pháp luật). Sau này có thể làm một số việc như bảo vệ thông tin, dữ liệu, hệ thông, quản trị thông tin mạng, …
  • Mã hoá (Crypto): Với tên của nó cũng đã nói lên đôi phần. Mã hoá dữ liệu chủ yếu để bảo vệ dữ liệu của chúng ta, tránh sự nghe lén, ăn cắp của những kẻ xấu. Ví dụ khi ta truyền dữ liệu giữa máy chủ và server thì dữ liệu cần được mã hoá, hay chúng ta có thể mã hoá máy tính cá nhân, chỉ ta có key mới có thể đọc thông tin trong máy tính, lỡ có bị mất máy tính hay kẻ gian đột nhập cũng không sợ bị lộ tài liệu (vì những kẻ này không có key). Sâu hơn các bạn cũng có thể tìm hiểu về chữ ký điện tử, tiền điện tử, blockchain, … cũng là một số ứng dụng của mã hoá mà đang khá hot hiện nay.

Các bạn tự tìm hiểu một số khái niệm trên nhé. Mình sẽ giới thiệu các bạn một số kiến thức mà mình biết về lĩnh vực đó, lần lượt từ dễ tới khó, kinh nghiệm chơi CTF để luyện tập….

Học như thế nào?

  • Ngôn ngữ lập trình: Các bạn cần phải nắm chắc về một ngôn ngữ lập trình, mình khuyên các bạn nên học và chắc chắn cần có python, vì nó có những thư viện hỗ trợ mạnh mẽ mà sau này các bạn sẽ sử dụng tới. 
  • Ngoài ra thì các bạn sẽ tìm hiểu dần về hệ điều hành mã nguồn mở Linux
  • Có kiến thức cơ bản về toán, cấu trúc dữ liệu và giải thuật, ngôn ngữ assembly.
  • Học thêm trau dồi tiếng Anh: Ngoài tiếng anh thông dụng, bạn sẽ gặp rất nhiều các thuật ngữ bảo mật thông tin nên bạn nhất định phải có vốn tiếng anh và tư duy ngoại ngữ tốt.
  • Tiếp theo là sách, sách thì đa phần là sách Tiếng anh là chính rồi. Để bắt kịp được xu thế và công nghệ thế giới thì đọc sách vô cùng quan trọng. Khuyên các bạn là vậy. Do giới thiệu nhiều dễ gây ngợp cho các bạn nên mình giới thiệu mỗi mảng 1 cuốn cho các bạn mới bắt đầu.
    • Reversing: Reverse Engineering for Beginners – Dennis Yurichev.
    • PWN‘Hacking: The Art of Exploitation’ – Jon “Smibbs” Erickson.
    • Web: The Web Application Hacker’s Handbook
    • Crypto: Giáo trình Mật mã học và an toàn thông tin (TS. Thái Thanh Tùng), quyển này bằng tiếng Việt, cũng khá đầy đủ cho các bạn mới bắt đầu.
  • Nguồn học thì các bạn có thể học Online, github, các trang blog, tìm kiếm trên mạng, trên mạng sẽ có mọi thứ bạn cần, nhưng sẽ khá nhiều nguồn dễ gây ngợp, nên ở blog này mình sẽ cố gắng hướng dẫn thật chi tiết để những bạn mới cũng có thể theo được.
  • Học từ cộng đồng, ví dụ như codelearn, hay stackoverflow,…

Theo nhận định của riêng mình, để học An toàn thông tin ở mức hiểu, biết thì cả bạn chỉ cần một thời gian ngắn là có thể đạt được, nhưng để có thể học sâu, có thể đi làm thì đó là cả một quá trình mà ta cần nỗ lực phấn đấu. Trở ngại lớn nhất của các bạn sinh viên khi học bất cứ thứ gì đó là chưa nỗ lực hết mình, mới thấy khó có thể đã bỏ cuộc,… để vượt qua thì không còn cách nào khác ngoài chính sự nỗ lực của các bạn. Bên cạnh đó thì có một số khó khăn khác nữa như tài liệu hay đa số bằng tiếng anh, hay khi mới học thấy khá khó tiếp thu cũng như không có định hướng rõ ràng,… Nhưng các bạn yên tâm, cứ đi đi rồi sẽ tới, có gì chưa hiểu các bạn có thể tìm tới những người đi trước hoặc để lại câu hỏi dưới comment.

Tạm kết

Mình luôn nhớ một câu nói thế này: “Thời điểm tốt nhất để học một cái gì đó là khi bạn đang là sinh viên. Thời điểm tốt thứ hai là ngay bây giờ!

Nên nếu có hứng thú, bạn hãy bắt đầu ngay bây giờ nhé. Ở bài tiếp theo, mình sẽ giới thiệu các bạn về Crypto. Mong nhận được sự góp ý từ các bạn để mình hoàn thiện hơn. Cảm ơn các bạn vì đã theo dõi!

Nguồn: codelearn.io

Leave a Reply

Your email address will not be published.