Posts

Exciting Vietnam-related Opportunities at Google Singapore

Please send your resume to thaidn@google.com, I can help get it in front of the right people. Feel free to drop me a line if you have any questions.

These roles are based in Singapore at the moment.

1. Account Strategist, Google Customer Solutions (English, Vietnamese) - Singapore:
https://careers.google.com/jobs/results/92325782551962310/

2. Account Strategist, Google Customer Solutions (English, Vietnamese) - Singapore:
https://careers.google.com/jobs/results/122215672462615238/

3. Account Strategist, Agency (English, Vietnamese) - Singapore:
https://careers.google.com/jobs/results/80231215556108998/

4. Agency Development Manager, Google Customer Solutions (English, Vietnamese) - Singapore:
https://careers.google.com/jobs/results/118449859926598342/

5. Agency Lead, Google Customer Solutions (English, Vietnamese) - Singapore:
https://careers.google.com/jobs/results/127662017168188102/

6. Manager, Mid Market Sales, Google Customer Solutions - Singapore:
https://careers.google.com/jobs/resul…

The Internet of Broken Protocols: Showcase #9

(Joint work with Sophie Schmieg, but mistakes are mine alone)

Nobody remembers why, but poor Bob was arrested and is in jail. He wants to send Alice a secret message. Wilson the warden, however, wants to read and censor messages he doesn't like.

To compromise, everybody agrees to use the following hybrid encryption protocol:

1/ Bob obtains Alice's public key and Wilson's public key.

2/ Bob symmetrically encrypts his message with a randomly generated message key K.

3/ Bob wraps K under Alice's public key.

4/ Bob wraps K under Wilson's public key.

5/ The final message is a concatenation of 2/, 3/ and 4/.

Wilson can decrypt, and drop the message if he doesn't like it. Otherwise he forwards the encrypted message to Alice. Bob doesn't have any privacy w.r.t Wilson, but he still can maintain his privacy w.r.t the rest of the world.

There are two implementations of the protocol:

1/ DJB-certified
- symmetric key encryption in step 2/ is ChaCha20Poly1305 with a ran…

Lỗ hổng chuyển tiền hay là suy nghĩ như một hacker

Image
Nhắc lại: trong một hội thảo gần đây, tôi có nói đầu năm 2017 tôi tìm được một lỗ hổng cho phép trộm tiền từ bất kỳ tài khoản nào của 4-5 ngân hàng ở Việt Nam.

Hình ở trên là một slide trong bài nói chuyện của tôi. Đây là một buổi giảng dạy về an ninh mạng, nên tôi dùng form này để hướng dẫn cho khách tham dự cách suy nghĩ như một hacker. Tôi thấy đây là một cách tiếp cận hiệu quả, mà không cần phải đi sâu vào các chi tiết kỹ thuật, bởi vì không phải ai nhìn vào ô số tiền cũng có thể nghĩ ngay đến "àh, tôi sẽ nhập vào số âm".

Lỗ hổng mà tôi phát hiện là có thật, nó không nằm ở chỗ số tiền chuyển khoản âm, mà là ở chỗ hoán đổi tài khoản của người nhận và người gửi. Một số bạn đọc thắc mắc, nghi ngờ về lổ hổng này. Tôi thấy nghi ngờ là đúng, chính tôi cũng không tin vào mắt mình khi tìm thấy lỗ hổng này.

Tôi không thể tiết lộ ngân hàng nào hoặc sản phẩm nào, vì lý do hiển nhiên, nhưng tôi có thể giải thích thêm về chi tiết kỹ thuật lỗ hổng khá thú vị này. Thiền sư gamma95 từn…