Posts

Showing posts from August, 2016

FIDO U2F: công nghệ xác minh hai bước chống phishing

Image
U2F là chữ viết tắt của Universal 2nd Factor, hiểu nôm na đây là công nghệ xác minh hai bước có thể sử dụng ở mọi nơi. Công nghệ U2F do Google Security Team cùng với Yubico và NXP sáng chế và sau đó bàn giao lại cho FIDO Alliance. Tôi không tham gia sáng chế ra công nghệ này, nhưng tôi có hỗ trợ đánh giá bộ giao thức U2F. So với các công nghệ tương đương như SMS OTP hay RSA SecurID, U2F có những sáng tạo độc đáo làm cho nó an toàn và dễ sử dụng hơn . Lợi thế So sánh với các giải pháp phổ biến trên thị trường như SMS OTP, Smart OTP, Google Authenticator, hay RSA SecurID, FIDO U2F có nhiều lợi thế. An toàn. FIDO U2F chống được tấn công phishing. Bất kỳ giải pháp nào yêu cầu người sử dụng chép mã OTP đều không thể chống lại tấn công phishing. FIDO U2F là một chuẩn mở, các doanh nghiệp cần độ bảo mật cao có thể tự đánh giá và triển khai giải pháp này mà không cần nhờ vào bên thứ ba. Các giải pháp như RSA SecurID hoàn toàn đóng, không ai biết bên trong chúng hoạt độn

Lãnh đạo vs hoa hậu

Image
Video ở trên đưa ra một thực trạng đáng báo động, khi mà một bộ phận không nhỏ thanh niên Việt Nam không biết ai đang lãnh đạo đất nước mà lại biết rõ vú, đít, háng của ai đang đại diện cho nhan sắc, trí tuệ dân tộc. Tôi đề nghị hai giải pháp, một ngắn hạn, một dài hạn, nhưng có thể tiến hành song song. Trong ngắn hạn, bầu hoa hậu làm lãnh đạo. Tại sao không? Hoa hậu vừa đẹp, vừa tài năng, tiếng Anh tiếng em trôi chảy, được cả dân tộc say đắm, có kinh nghiệm thi đấu quốc tế... ăn đứt mấy ông vừa già vừa xấu vừa lú. Đế Quốc Mỹ có thể sẽ có nữ tổng thống đầu tiên, lẽ nào chúng ta lại chịu thua?! Về dài hạn, bầu lãnh đạo làm hoa hậu. Lãnh đạo của chúng ta tài sắc đâu kém gì các cô hoa hậu. Ông nào bà nào cũng đủ các thể loại huy huân chương gắn đầy vú, nhiều khi rải rác xuống tận háng vẫn không đủ chỗ. Đế Quốc Mỹ còn tổ chức cho các ứng viên tổng thống hùng biện với nhau, lẽ nào chúng ta không thể xem lãnh đạo thi vấn đáp!? Từ rày về sau hễ ở đâu có thi hoa hậu, ở đó chúng ta s

The Internet of Broken Protocols: Showcase #5

(complete list of protocols: https://vnhacker.blogspot.com/search/label/The%20Internet%20of%20Broken%20Protocols ) Administrative note: I've posted solutions to the first 4 challenges. Some readers again found attacks that I wasn't aware of, but I'm not surprised anymore :=). I'm interested in making my puppy protocols less broken, so please share with me your "patches". I'm also open to challenge submissions, please drop me a line if you have something cool to share. --- In the past few years I've found many use cases in which  doing crypto in Javascript makes a lot of sense. This challenge is one of those cases. Although the crypto is trivial the whole protocol is complex, involves many players and requires a basic knowledge of web security. Your task is to identify any weaknesses and propose a fix. You can leave your findings in a comment or email me at thaidn@gmail.com. I'll update the post with my solution in a few days. This protoc

Những người tử tế

Image
Hôm trước có một công ty nhờ tôi tư vấn về công nghệ thông tin. Tôi chỉ nói chuyện một buổi, cũng không giúp được gì nhiều, nên khi họ hỏi số tài khoản để chuyển thù lao tôi nói thôi khỏi và nhắn là nếu mấy anh có lòng thì đóng 1-2 triệu gì đó cho quỹ Cơm Có Thịt là được. Tôi tưởng họ quên rồi nhưng ai dè hôm nay họ gửi email này thấy vui quá nên tôi xin phép họ cho đăng trên blog. Chào Thái, Mình xin lỗi vì thông tin gửi bạn khá muộn sau khi được sự giúp đỡ của bạn. Bên mình đã góp 10tr vào quỹ “ Cơm có thịt ”. # Đây là quỹ mà bên mình lập ra : https://www.facebook.com/Quy. Trai.tim.Dai.Viet/?fref=nf 1 lần nữa cảm ơn bạn đã giúp đỡ bên mình. Chúc bạn nhiều sức khoẻ!

Sự cố Vietcombank, một góc nhìn kỹ thuật

Image
(bài đã đăng trên www.vnsecurity.net/research/2016/08/13/Ve-su-vu-khach-hang-Vietcombank-bi-mat-tien.html, thực hiện chung với superkhung và crazyboy ) Cập nhật 16/08/2016: vì hiểu lầm trong trao đổi giữa hai bên cho nên chúng tôi đã không nhận được tài khoản thử nghiệm, chứ không phải Vietcombank không muốn gửi. Chúng tôi giữ nguyên ý kiến Smart OTP là một thiết kế không tốt, cần phải được điều chỉnh. Dẫu vậy cũng cần phải nói rõ chúng tôi không có lý do để tin rằng lỗ hổng mà chúng tôi phát hiện vẫn có thể khai thác được. Các kỹ sư Vietcombank đã phản hồi rất tích cực, chuyên nghiệp và cầu thị. Chúng tôi đã từng chứng kiến kỹ sư ở Silicon Valley thiết kế các giao thức tệ hơn Smart OTP rất nhiều và không trả lời khi chúng tôi liên lạc báo lỗi. Thiếu kỹ sư chuyên trách an toàn thông tin là căn bệnh lâu năm của Việt Nam, gần đây bắt đầu hành hạ “người bệnh", biểu hiện qua các sự cố bảo mật liên tục. Trao đổi với nhóm kỹ sư Vietcombank chúng tôi nhận thấy đây là một đội ngũ