Posts

Quyền được nhảm nhí

Tôi muốn hỏi những ai hô hào xử lý “video nhảm": tôi là người trưởng thành, ai mượn họ quyết định giùm tôi cái gì là nhảm?Tôi ủng hộ chuyện phân loại nội dung để bảo vệ trẻ em, đảm bảo các em được xem nội dung phù hợp với lứa tuổi. Nhưng bảo vệ trẻ em không có nghĩa là cấm cả người lớn. Nếu ai đó nghĩ họ có thể quyết định thay tất cả mọi người, ta nên đóng cửa hết các trường học đi cho rồi. Giáo dục chi nữa khi mà người ta không tin những người trưởng thành ở đất nước này biết suy nghĩ.
Tôi không thích video của Hưng Vlog, vì không thấy sáng tạo gì mấy, nhưng tôi thấy lý do mà họ phạt anh này rất hài. Họ nói rằng “qua tìm hiểu tại làng xã, địa phương, người dân ở đây không ai ăn [gà để nguyên lông]”. Tôi có cảm giác Nam Cao mà viết Chí Phèo thời này sẽ bị phạt với lý do “qua tìm hiểu ở làng Vũ Đại không có ai tên Phèo cả".
Tôi nhớ đến nhạc rap và xăm mình. Bây giờ rap đã bay cao trên truyền hình, xăm mình đã trở thành người của công chúng, nhưng rap có thể vẫn đang ở dưới đất …

Advisory: security issues in AWS KMS and AWS Encryption SDKs

I discovered and reported to Amazon the following security vulnerabilities affecting AWS KMS and all versions of AWS Encryption SDKs prior to version 2.0.0: Information leakage: an attacker can create ciphertexts that would leak the user’s AWS account ID, encryption context, user agent, and IP address upon decryptionCiphertext forgery: an attacker can create ciphertexts that are accepted by other usersRobustness: an attacker can create ciphertexts that decrypt to different plaintexts for different users The first two bugs are somewhat surprising because they show that the ciphertext format can lead to vulnerabilities. These bugs (and the infamous alg: "None" bugs in JWT) belong to a class of vulnerabilities called in-band protocol negotiation. This is the second time we’ve found in-band protocol negotiation vulnerabilities in AWS cryptography libraries; see this bug in S3 Crypto SDK discovered by my colleague Sophie Schmieg.
In JWT and S3 SDK the culprit is the algorithm field—…

Khi thẩm phán là thần tượng

Image
(Một phiên bản của bài này đã đăng trên BBC)Chứng kiến bạn bè, đồng nghiệp tiếc thương thẩm phán Ruth Bader Ginsburg khiến tôi nhớ đến cố luật sư Vũ Trọng Khánh.Một khác biệt văn hóa giữa Việt Nam và Mỹ mà tôi nhận ra sau gần 10 năm ở Mỹ đó là trong ngôn ngữ và câu chuyện hàng ngày của người Mỹ, từ “hiến pháp” (constitution) xuất hiện với tần suất cao hơn người Việt Nam rất nhiều lần. Ở Mỹ hay ở Việt Nam, hiến pháp đều là bộ luật tối thượng của đất nước, theo lý thuyết sẽ ảnh hưởng đến mọi mặt của đời sống văn hóa, xã hội, kinh tế, chính trị. Thế thì tại sao người Mỹ thích nói về hiến pháp hơn người Việt?Tôi nghĩ vì Mỹ là nước pháp quyền, không có ai hay tổ chức nào đứng trên hay ở ngoài hiến pháp. Người Mỹ từ nhỏ đã được dạy về quyền của mình và viện dẫn các tu chính án hiến pháp làm căn cứ. Tổng thống Mỹ khi tuyên thệ nhậm chức không thề trung thành với đảng phái chính trị mà thề trung thành và bảo vệ hiến pháp. Một nhà báo trong nước giải thích tức là người dân Mỹ có thể dùng hiến …

Reminder: Livestream trò chuyện với Hieupc

Image
Thứ bảy tuần này 19/9 (22h đêm, giờ Việt Nam), Huân Trương và tôi sẽ làm một buổi livestream với Hieupc. Tham gia cùng chúng tôi còn có bạn Junnie Nguyễn, cựu nhân viên Facebook phụ trách điều tra các vụ lừa đảo, giả mạo, đánh cắp danh tính. Bạn Junnie ở Ireland, đó là lý do mà chương trình sẽ bắt đầu lúc 22h đêm ở Việt Nam, vì phải cân bằng 3 múi giờ khác nhau ;-).Thời gian: (nhấn vào đây để đưa vào Google Calendar)Giờ Việt Nam: 22:00 tối thứ bảy, 19/9/2020Giờ California: 08:00 sáng thứ bảy, 19/9/2020
Livestream:https://youtu.be/wjABQ4ODQkM
Facebook event:https://www.facebook.com/events/347449939946860/
Chương trình sẽ gồm 4 phần:Phần đầu chúng tôi sẽ ôn lại kỷ niệm xưa, cái thuở ban đầu xài dial up với account “chùa” mà vẫn hack hiếc tè le. Chúng ta sẽ biết cơ duyên nào mà Hieupc đến với hacking và con đường dẫn đến vòng lao lý.Chuyện Hiếu đã làm rất sai, ảnh hưởng lớn đến nhiều người, không phải là chuyện nên tôn vinh hay ngưỡng mộ, nhưng Hiếu cũng đã trả giá sòng phẳng. Chúng tôi muố…

Podcast 4.04: Trò chuyện với Hieupc

Image
Hieupc (Ngô Minh Hiếu) là một hacker Gia Lai (không hiểu sao cái xứ này lại có nhiều hacker như vậy, có ai còn nhớ DanTruongX?) bị mật vụ Mỹ lừa bắt vào năm 2013 và bị kết án 13 năm tù vì đã đánh cắp và bán thông tin cá nhân của hàng trăm triệu người Mỹ. Hieupc vừa ra tù vào cuối năm ngoái và đang ở Việt Nam.Tôi đọc câu chuyệncuộc đời của Hiếu trên KrebsOnSecurity thấy nhớ bạn bè và một thời trai trẻ. Tôi có thằng bạn, nhà cũng khá giả, cũng đi du học sớm, cũng hack hiếc dữ dội. Tôi nói với nó, chỉ cần lựa chọn khác nhau một chút, Hieupc và tụi tôi có thể đã đổi vị trí cho nhau. Hai thằng gật gù. Tuổi trẻ hiếu thắng, lại nắm trong tay bao nhiêu quyền lực, muốn hack cái gì cũng được, không có ai hướng dẫn chỉ bảo, không có hình mẫu để noi theo, phải rất tỉnh táo và may mắn mới không sa chân lỡ bước, nhất là khi kiếm tiền dễ quá.Mỗi chọn lựa đều có hậu quả. Hiếu đã chọn sai, để rồi phải trả giá bằng 7 năm tù, ngay trong độ tuổi tươi đẹp nhất của một đời người. Đắt nhưng công bằng và cần…

Why you want to encrypt password hashes

Image
Troy Hunt of Have I Been Pwned fame wrote that because encryption is reversible but hashing is not passwords should be hashed, not encrypted. I think passwords should hashed-then-encrypted, i.e., they are hashed with a slow memory-hard function like Argon, scrypt or bscrypt, then the hashes are encrypted using AES-SIV with a key residing in a remote oracle. I believe this offers the best security at a minimum cost, providing pretty good usability. It is not exactly a new idea. The remote key works as a secret pepperFacebook also uses a remote oracle in their password hashing scheme. My first big project at Google was to modernize our password hashing scheme. I was having so much fun, spending days to design and implement a variant of scrypt in assembly (because I can and because it's actually faster than GCC intrinsics). In the end, I realized, however, it's a game that I can never win. I need a slow memory-hard hash function, but it can't be too slow because of usability…