Posts

Showing posts from 2010

Cập nhật

Tôi chuẩn bị chuyển đến một miền nhiều hoa vàng để học. Thiệt ra là đi làm toàn thời gian, và đi học bán thời gian thôi, nhưng mà tôi nghĩ làm việc cũng là học, chỉ khác là ai trả tiền cho ai mà thôi, nên thôi cứ xem như là đi học toàn thời gian.
Tôi làm cho một cty nhỏ chuyên về tư vấn và nghiên cứu an toàn thông tin, và tôi học mật mã ở một trường đại học uy tín. Hi vọng đây sẽ là những ngày tháng thú vị của cuộc đời. Tôi sẽ viết nhiều hơn.
PS: nếu mà bạn nghĩ chúng ta nên gặp, ở đây hay ở nơi tôi sắp đến, thì hãy cho tôi biết nha.

Funemployed

Yesterday, I formally resigned my position as chief information security officer of DongA Bank. I still have more than two weeks at the bank though. My last day will be 1st November, 2010.
For now I’m going to remain a bit tight-lipped about what exactly I’m going to do next, partly because I’m just not exactly sure yet, and partly because I’m resolving to stay open to new opportunities and new ideas. So feel free to drop me a line if you have a deal or something for me ;-).

First time on screen

Padding Oracles Everywhere - ekoparty security conference from ekoparty on Vimeo.This is our presentation at EKOPARTY. We started with Juliano presented in Spanish about the theory behind the attack, and I started describing the ASP.NET vulnerability in English since 26'.
Well, although there's still a lot of room for improvement, but I'm happy to see my accent is getting better ;-).

Những lá thư từ Barcelona

Image
(đang ở xa, nhớ nhà, nhớ người dưng nên đâm ra nhớ bài này. viết cho mục Du Lịch tạp chí Làm Giàu số tháng 08/2010)
Barcelona, ngày...
Anh đã đến Barcelona rồi em ạh. Ở đây bây giờ là mùa xuân, cây cỏ xanh rì sức sống. Lạ lắm em, trong mường tượng của anh, Barcelona nghĩa là bóng đá, với câu lạc bộ FC Barcelona hào hoa cùng vô vàn hảo thủ trứ danh thế giới, nhưng trên đoạn đường ngắn đi từ sân bay về khách sạn, anh có cảm giác mơ hồ rằng, thủ phủ xứ Catalonia khiến bao người say đắm không chỉ vì bóng đá...
Chiều nay anh và J quyết định sẽ đi thăm trung tâm Barcelona, nhân tiện tìm cái gì đó ăn, trước khi trở về khách sạn để chuẩn bị cho buổi thuyết trình ngày mai. J là người Argentina gốc Tây Ban Nha, tiếng mẹ đẻ cũng là tiếng Tây Ban Nha, nhưng hắn cũng chưa đến Tây Ban Nha lần nào. Kể ra cũng thú vị em nhỉ, một thằng ở châu Á, một thằng ở Nam Mỹ, quen và làm việc chung với nhau cả năm, rồi lại gặp nhau lần đầu ở một thành phố nằm bên bờ Địa Trung Hải.
Khách sạn của bọn anh ở khá xa trun…

One year

On this day one year ago, Juliano and I released the Flickr bug which is a small beautiful crypto vulnerability that affects a dozen of high profile web 2.0 sites. Personally, it's my first published advisory, and I could still recall exactly how excited was I when Juliano called to tell that our work was voted as one of best web hacking techniques of 2009.
Actually the Flickr bug was an accidental discovery. At that time we were following something else that eventually leads to our second research Practical Padding Oracle Attacks a.k.a POET. We were chosen to present at Black Hat in Barcelona and USENIX WOOT in Washington DC. We came, we talked (well Juliano went alone to WOOT because I couldn't get a visa on time,) and people love it so much that they even nominated POET for the Pwnie award for Most Innovative Research. Well, we didn't get the award, but peer recognition is always a good source of motivation.
Fast forward to today. I just got my Argentine visa this morning…

hacker vs hiệp sĩ

(hôm nay tự dưng thấy lại mấy bài viết của những người muôn năm cũ)
***
Lời trần tình của một Hacker
login as: alice password: reaLLy waNNa knOw my P(ass) ? [alice@hvaonline.net ~]$ export HISTFILESIZE=0 [alice@hvaonline.net ~]$ export HISTFILE=/dev/null [alice@hvaonline.net ~]$ cat ./hacker-manifesto.txt
/*****************************************/
Những lời sau đây tôi viết ít lâu sau khi bị bắt. LỜI TRẦN TÌNH CỦA MỘT HACKER Tác giả: +++The Mentor+++ Viết ngày 8/1/1986
/*****************************************/
Hôm nay thế là lại thêm một người nữa bị tóm, tin đăng đầy trên báo. „Trẻ tuổi bị giam trong vụ án rùm beng về máy tính“, „Hacker bị bắt sau khi mở khóa ngân hàng“...
Lũ trẻ khốn kiếp. Chúng nào có khác gì nhau.
Nhưng các người, với mớ tâm lý học chắp vá với tư duy công nghệ những năm 50 của các người, có bao giờ nhìn vào tâm tư của hacker không? Có bao giờ các người tự hỏi cái gì đã thúc y hành động, lực nào đã dập thành y, khuôn nào đã đúc nên y không?
Ta là một hacker, hãy bước vào thế giớ…

Hội thảo bảo mật quốc tế SyScan HCMC 2010

Nghe BTC SyScan HCMC 2010 nói là hiện giờ đã cuối tháng 8 rồi mà có ít người đăng ký quá. Bạn nào có điều kiện thì nên đăng ký tham dự và kêu gọi bạn bè đăng ký. Nếu đã đi làm thì nên giới thiệu cho đồng nghiệp để đăng ký theo nhóm, sẽ được giảm giá.

Đây là cơ hội rất hiếm có để được tham dự một hội thảo bảo mật có uy tín và chất lượng với các diễn giả là những tay hacker "có số má" trên thế giới. Đăng ký tham dự cũng là cách để ủng hộ cho sự phát triển của ngành và nghề an toàn thông tin ở VN.

Click vào đây để đăng ký. Xem thêm thông tin bên dưới.
----

SyScan (Symposium on Security for Asia Network) là một trong các hội thảo bảo mật chuyên đề uy tín ở châu Á. Khác với các hội thảo bảo mật khác, SyScan không nói về sản phẩm hay giải pháp thương mại, mà là nơi các chuyên gia bảo mật hàng đầu trên thế giới đến để chia sẻ các nghiên cứu, phát hiện và kinh nghiệm của họ với giới bảo mật trong khu vực. Các diễn giả ở SyScan là những chuyên gia thuộc nhóm giỏi nhất, nổi bật nhất trong…

những con khỉ không hỏi tại sao

(chuyên mục: chuyện kể dọc đường buổi sáng ;-)

có một câu chuyện xưa lắm, xưa đến nỗi anh không nhớ là ai đã kể cho anh nghe và lúc nào, chỉ nhớ là nó liên quan đến vài con khỉ, một cái chuồng, một trái chuối và một bình chữa lửa.

em xây một cái chuồng rộng cỡ cái phòng ngủ, và lùa năm con khỉ vào một phía. phía còn lại em để một trái chuối. rồi em cầm bình chữa lửa đứng đợi. khỉ thì thích ăn chuối, nên không sớm thì muộn, một trong những con khỉ sẽ bắt đầu chạy về phía trái chuối. khi nó làm như thế, em lấy bình chữa lửa xịt vào những con khỉ còn lại. thay trái chuối mới nếu cần, và lập lại quá trình này.

khỉ rất thông minh, nên chúng sẽ nhanh chóng nhận ra cái luật này: nếu mà có con khỉ nào tiến về phía trái chuối, cả đám còn lại sẽ bị xịt bột chữa lửa. và để tự bảo vệ, cả đàn sẽ bắt đầu tấn công bất kỳ con nào có ý định ăn chuối.

khi hiện tượng này xảy ra, em bắt một con khỉ ra khỏi chuồng, và thay vào đó bằng một con khỉ mới. con khỉ mới sẽ gia nhập đàn, cố gắng kết bạn, và chắc chắn…

tiễn người ra cửa rồi

Isn't it ironic? We ignore the ones who adore us, adore the ones who ignore us, love the ones who hurt us, and hurt the ones that love us.
-Stewie Stewart.
Tiễn người ra cửa rồi Tôi quay vào lặng lẽ Chợt thấy mình cô đơn Giữa ngổn ngang bàn ghế
Khi người không yêu ta Buồn đã đành một nhẽ Khi ta không yêu người Sao cũng buồn đến thế
Như đánh mất điều gì Lòng bâng khuâng khó tả Như thể mắc nợ ai Món nợ không thể trả
Có lẽ ta thương người Giờ này đang lủi thủi Hay là ta thương ta Từng chịu nhiều hắt hủi
Ngỡ chẳng có gì đâu Mà sao thành rắc rối Tất cả chỉ một lời Nói hay là không nói?
tôi đọc bài thơ này lần đầu cách đây cả chục năm. và cứ buồn miết, thiệt là dở hơi mà ;-). ờ, mà tại sao khi không yêu người, ta cũng buồn đến thế?
----
có lẽ ta thương người, giờ này đang lủi thủi có lẽ ta thương ta, từng chịu nhiều hắt hủi
như ai đó viết, không phải tình yêu làm cho con người ta gần nhau, mà chính là những trái tim tan vỡ. ờ thì ai mà đã một lần bị từ chối, sẽ rất hiểu và thương những kẻ thất tình.
khi Summer …

đi về

chặng đi.

người ngồi trước thương người ngồi sau, mãi lặng lẽ đường xa, xa ơi là xa. nên bây giờ xe lúc nào cũng có hai người, để đường chỉ còn xa một nửa, mà niềm vui thì thêm dài.

chặng về.

người ngồi sau nghĩ mãi về người cầm lái. chở người đi xa quá là xa, hít biết bao nhiêu là khói bụi, vượt qua bao nhiêu là ùn tắc kẹt xe, đổ biết bao nhiêu mồ hôi nước mắt, vậy mà chỉ kiếm được vài chục ngàn đồng.

hay là nghĩ cho chính mình?

---

xe dừng lại trước cổng chùa. không biết là chùa đã có từ bao giờ, chỉ nhớ là lúc tôi vào học cấp II, thì đã có chùa rồi. dẫu vậy tôi chưa vào chùa bao giờ, chỉ vài lần đứng ở ngoài cổng, dõi mắt nhìn thẳng vào khoảng sân trống dẫn vào chánh điện. ngoài cổng chùa ồn ào náo nhiệt là thế, vậy mà chỉ cần bước qua cổng chùa, mọi thứ lại trở nên yên tĩnh thanh bình đến lạ. có lẽ không cần bước qua cổng chùa mới ngộ ra thế nào là thanh tịnh.

chùa nằm ở đầu chợ, nhà tôi nằm ở trong một con hẻm giữa chợ. xe ôm vẫn có thể chở tôi về thẳng nhà, nhưng tôi lại thích đi bộ xu…

Hội thảo An ninh Web 17/06

Chào mọi người, ngày 17 tháng 06, chi hội VNISA phía Nam phối hợp cùng nhóm OWASP Việt Nam sẽ tổ chức hội thảo An ninh ứng dụng web.

Địa điểm: Khách sạn Palace, 56-66 Nguyễn Huệ, quận 1, TPHCM
Thời gian: 08:30 đến 11:30
Chương trình:

1. OWASP Top Ten 2010, do Nguyễn Thành Nam, Blue Moon Consulting, trình bày

2. Tấn công mật mã thực dụng, do tôi trình bày. Tôi sẽ nói lại đề tài mà tôi đã trình bày ở Black Hat EU

3. Quy trình kiểm tra lỗi trong ứng dụng web, do Phạm Kiên Cường, Athena, trình bày

4. Thảo luận

Vào cửa tự do, không cần thư mời. Xin mời mọi người tham gia.

---------

Hi all,

On June 17, the VNISA Southern Branch and OWASP Vietnam is organizing a conference on Web Application Security. Details follow:

Venue: Palace Hotel, 56-66 Nguyen Hue, District 1, HCMC
Time: 08:30 to 11:30
Program:

1. OWASP Top Ten 2010, by Nguyen Thanh Nam, Blue Moon Consulting

2. Practical Crypto Attack, by yours truly

3. Testing Web Application, by Pham Kien Cuong, Athena

4. Panel Discussion

Please join us!

Practical Padding Oracle Attacks

Image
Như đã có chia sẻ trên blog này, tháng 4 vừa rồi Juliano và tôi được chọn để trình bày tại hội thảo Black Hat Europe 2010. Đề tài mà chúng tôi trình bày là biến một kỹ thuật tấn công mật mã rất mạnh mẽ thành một bộ kỹ thuật tấn công web rất nguy hiểm.

Đề tài này cùng chủ đề với nghiên cứu về MD5 extension attack của chúng tôi, nhưng lần này mức độ ảnh hưởng lớn hơn rất nhiều. Chúng tôi ước tính có khoảng vài chục ngàn đến vài trăm ngàn web site có thể bị tấn công bằng những kỹ thuật mà chúng tôi đã trình bày.
Chúng tôi vừa làm xong POET a.k.a Practical Padding Oracle Attack, các bạn có thể download POET cũng như bài báo và slide trình bày ở đây. Chúng tôi có một báo cáo tốt hơn, nhưng đang còn chờ peer review nên chắc phải sau tháng 8 mới công bố được.
Ngoài ra haivideo dưới đây cũng thể hiện rất rõ sức mạnh của POET và padding oracle attack:






Tờ TheRegister cũng mới đưa tin:
Researchers release point-and-click website exploitation tool
'Tons' of vulnerable sites
Released Monday, Poe…

xôi

hồi nãy đói quá, xách xe chạy ra Tôn Đản mua 2 gói xôi, một xôi mặn, một xôi nếp than, mỗi gói 5 ngàn. rẻ rề mà ăn ngon đã đời.

nghe Huy mập nói bà bán xôi này bán từ hồi một gói xôi có 200đ cho đến tận bây giờ. cứ khoảng chiều chiều là dọn ra bán đến sáng luôn. gánh xôi lúc nào cũng đông nghẹt người mua, đến phải đứng đợi ít nhất là 10' mới có.

khu vực Tôn Đản này có rất nhiều hàng gánh quán bán độc duy nhất một món thôi, mà món nào cũng rẻ và ngon thuộc hàng đệ nhất Sài Gòn. ngon là vì bán lâu đời rồi, kinh nghiệm chế biến bao nhiêu năm mà. rẻ vì là khu lao động, bán mắc quá ai có tiền mà ăn.

ngoài xôi ra, còn có bánh mì, phá lấu (còn gọi là phèo), ốc, chim cút chiên bơ, mì xào giòn, bún riêu, miến măng vịt, bò kho...quán nào cũng ăn một lần là muốn trở lại. he he he sự thật là mình từng dẫn nhiều bạn đi ăn rồi, ai cũng muốn quay lại hết nha ;-).

----

ăn xong rồi ngồi nghĩ...có 10.000 mà cũng được một bữa no và ngon, vậy mà nhiều khi bỏ ra gấp mấy chục lần mà vừa không no vừa không n…

Capture-the-Flag: môn thể thao trí tuệ của hacker

Image
(bài này bài gốc, bài đăng trên Tuổi Trẻ có thể xem ở đây)
Chỉ còn vài giờ nữa là vòng loại của DEF CON Capture-the-Flag, cuộc thi hacking lớn nhất trong năm của hacker toàn thế giới, sẽ bắt đầu. Nhân dịp này, tôi muốn giới thiệu với các bạn về Capture-the-Flag (CTF), môn thể thao trí tuệ hết sức thú vị và hấp dẫn của giới hacker.
Hacking và hơn thế nữa

CTF thường được tổ chức theo mô hình trò chơi chiến tranh, tập trung vào hai kỹ năng tấn công và phòng thủ mạng máy tính của người chơi. Các đội tham gia CTF sẽ được cấp một máy chủ (hoặc một mạng máy chủ) đã cài đặt sẵn nhiều chương trình chứa các lỗ hổng bảo mật. Nhiệm vụ của đội chơi là tìm ra các lỗ hổng đó, tấn công các máy chủ của các đội khác để ghi điểm, đồng thời phải nhanh chóng vá các lỗ hổng trên máy chủ của đội nhà, để tránh bị tấn công bởi các đội khác.

CTF hấp dẫn và thu hút giới hacker bởi lẽ các cuộc thi này phản ánh rất chân thật công việc hàng ngày và đòi hỏi người chơi phải có các kỹ năng của một hacker thực thụ. Muốn c…