Posts

Showing posts from 2014

Cập nhật TetCon Saigon 2015

1. Bốnbáocáomới đã được đưa lên trang chủ của hội thảo! Hai báo cáo cuối cùng sẽ được thông báo trong vài ngày tới. Rất có thể năm nay TetCon sẽ có diễn giả nữ đầu tiên trong lịch sử :-).
2. Coupon giảm giá đã được gửi đến cho tất cả những bạn sinh viên đăng ký vé miễn phí dự TetCon Saigon 2015.
3. Đây là lần đầu tiên có hơn 300 người tham dự TetCon. Dự kiến ban đầu chỉ là 300 người, nhưng hiện giờ đã có ~310 người mua vé, chưa kể khách mời. Tốc độ đăng ký nhanh quá ban tổ chức trở tay không kịp. Cũng may là bên khách sạn nói rằng hội trường của họ có thể chứa được đến 500 người.
4. Quà của Facebook cho khách tham dự đã về, nhưng mà hơi bèo =). Quà của Microsoft cũng đã về đến Việt Nam, nhưng mà ban tổ chức chưa lấy ra được, nên chưa biết là gì. Quà của Google thì chắc là đang bay trên trời. Nghe đồn quà của Google khá dễ thương.

Cháy vé TetCon Saigon 2015

Có vẻ như năm nay sẽ là TetCon lớn nhất mà tôi từng tổ chức. Tôi nghĩ sẽ có tầm 350 người tham dự hội thảo. Không hiểu chuyện gì xảy ra mà vài ngày vừa rồi lượng người đăng ký mua vé dự TetCon Saigon 2015 tăng đột biến. Ban đầu tôi dự kiến chỉ bán 200 vé sớm, thấy nhiều người mua quá nên tôi đã tăng lên 250 vé, nhưng với tốc độ này chắc chỉ nay mai là hết vé sớm. Sau đó chỉ còn loại vé thường, có giá 400.000 đồng/vé.

Những bạn sinh viên đăng ký vé miễn phí được chấp nhận đợt đầu đã nhận được phiếu giảm giá 100%. Ai chưa nhận được vui lòng chờ đến ngày 19/12 sẽ có kết quả cuối cùng là có được hay không. Nếu hết vé tôi sẽ ưu tiên bán vé sớm giá rẻ cho các bạn.

Mỗi vé tham dự hội thảo sẽ được nhận một phần quà tặng rất dễ thương từ các nhà tài trợ của hội thảo là Google, Facebook và Microsoft. Ngoài ra còn có hai buổi tiệc trà, gồm bánh trái và nước uống. Ăn trưa hiện giờ là tự túc, nhưng ban tổ chức cũng đang tìm nguồn tài trợ trong nước để hỗ trợ phần này (nếu bạn có khả năng tài trợ c…

Cập nhật TetCon Saigon 2015: Hai bài đầu tiên

TetCon mong muốn cung cấp cho khách tham dự hai nguồn thông tin: những kinh nghiệm thiết thực và những nghiên cứu mới nhất. Hai bài nói chuyện được chấp nhận đầu tiên phản ánh rõ hai mục tiêu này.

Bài đầu tiên là một trong những nghiên cứu web security thú vị nhất trong năm 2014. Michele Spagnuolo, một đồng nghiệp của tôi ở Google, sẽ giới thiệu một kỹ thuật tấn công mang tên Rosetta Flash. Với kỹ thuật này Michele đã tìm thấy hàng loạt lỗ hổng trên các website của Google, Twitter, LinkedIn, Yahoo! và rất nhiều hãng khác. Rosetta Flash được đề cử giải thưởng Pwnie giành cho hạng mục lỗ hổng máy chủ hay nhất năm 2014 (nhưng xui là Heartbleed cũng được đề cử trong hạng mục này :-).
Bài thứ hai nói về sử dụng TLS đúng cách, trình bày bởi Phạm Tùng Dương, thường được biết đến với nickname là Kai. Kai cho thấy không phải cứ chi trả nhiều tiền là hệ thống sẽ tốt. Kai phát hiện đa số ngân hàng và tổ chức tài chính Việt Nam đang triển khai HTTPS không đúng cách, mặc dù họ đã chi trả mỗi năm h…

TetCon Saigon 2015

Một số thông tin quan trọng về TetCon Saigon 2015:
Trang chủ: https://tetcon.org. Danh sách diễn giả và chương trình sẽ được cập nhật liên tục trong vài ngày sắp tới.Vé đã được bán ở http://ticketbox.vn/event/tetcon-saigon-2015-14509.Ngày giờ: thứ ba, ngày 6 tháng 1 năm 2015.Địa điểm: khách sạn Majestic, số 1 Đồng Khởi, Q.1, Tp.HCM.Nộp bài nói chuyện ở https://docs.google.com/forms/d/1bXFG9kmaMcT5mAGRImB1S9D6seoR7IsB5_4ki4Loo78/viewform?usp=send_form.Thông tin dành riêng cho các bạn sinh viên: chúng tôi dành ra 30 vé hoàn toàn miễn phí cho các bạn sinh viên học sinh. Số lượng vé có hạn nên chúng tôi chỉ xét duyệt cho những ai có tiềm năng làm nghiên cứu và trở thành chuyên gia trong ngành. Có rất nhiều cách để chứng minh khả năng của bạn, nhưng cách tốt nhất là nói cho chúng tôi biết những dự án mà bạn đã thực hiện, những chương trình mà bạn đã viết, những cuộc thi CTF mà bạn đã tham gia, hay những bài blog hay mà bạn đã viết. Càng có nhiều thông tin thì cơ hội nhận được vé sẽ càng cao…

Việt Nam

Vài ngày nữa tôi sẽ về Việt Nam để nói chuyện ở hội thảo Ngày An Toàn Thông Tin Việt Nam, diễn ra ở Hà Nội vào ngày 4/12/2014. Tôi sẽ trình bày trong phiên buổi sáng với nội dung tóm tắt như sau:
Google là mục tiêu số một trên Internet. Rất nhiều người muốn xâm nhập chúng tôi và chúng tôi có quá nhiều thứ để mất nếu họ thành công. Làm thế nào chúng tôi có thể tồn tại được trước những tấn công có chủ đích này? Tôi sẽ chia sẻ những gì chúng tôi đã làm, phương án nào hiệu quả và, quan trọng hơn hết, phương án nào ít có tác dụng. Một bí mật nhỏ: chúng tôi không chạy phần mềm chống virút trên máy tính của nhân viên. Buổi chiều cùng ngày tôi sẽ tham dự buổi trao đổi bàn tròn về chuyên đề "Nguy cơ mất an toàn thông tin từ các thiết bị cầm tay". Hi vọng sẽ có cơ hội được gặp gỡ và trò chuyện với tất cả những ai yêu thích an toàn thông tin ở Hà Nội. Tôi cũng sẵn sàng tư vấn cho các doanh nghiệp ở Hà Nội về những vấn đề an toàn thông tin nói riêng hay công nghệ thông tin nói chung mà …

Tự do và văn hóa

Image
Cập nhật: tôi mới đọc được vài ý kiến về việc này ở đây. Tôi thấy ngạc nhiên ở hai chỗ: có người giận dữ vì bài báo của Trí Thức Trẻ và nhiều người làm báo ủng hộ chuyện phạt và đình bản tờ báo này. Nếu một người chẳng quen biết mình tự dưng chửi mình ngu, kết luận của tôi là người đó không bình thường, chẳng đáng bận tâm. Mà có phải chửi mình đâu, tự dưng mình gắn mình với cái identity đó làm gì cho mệt? Còn hoan hô người ta "xử luật rừng" với đồng nghiệp của mình thì chẳng khác nào tự mình tuyên bố "mai mốt ông xử tôi vậy cũng được".

Sau khi phạt 207 triệu đồng và đình bản tờ Trí Thức Trẻ vì dám đăng bài chê gái miền Tây "gây mất đoàn kết dân tộc", trên đà chiến thắng tôi đề nghị Bộ 4T nên phạt và đình bản tất cả các tờ báo đã dám chê ỏng chê eo đàn ông Việt. Tính ra thì mấy bài viết này còn gây chia rẽ dân tộc hơn cả bài báo của tờ Trí Thức Trẻ, vì chắc chắn đàn ông Việt nhiều hơn gái miền Tây rồi. Riêng cá nhân tôi thì tôi sẽ đi tìm một một việc làm …

Chụp hình với người nổi tiếng

Image

Cây táo ông Lành

Image

Đồ Long Đao

Image

Từ đại số đến Bitcoin: 26, Fermat và tôi

Image
26 là một trong những con số mà tôi yêu thích nhất: nó là số tự nhiên duy nhất nằm kẹp giữa một số bình phương (25) và một số lập phương (27).

Đây là một trong những phát hiện của Fermat, nhà toán học vĩ đại người Pháp sống vào thế kỷ 17. Fermat viết bên lề cuốn Arithmetica của Diophantus rằng nghiệm nguyên duy nhất của phương trình $latex y^2 = x^3 - 2$ là $latex (3, \pm 5)$, nhưng ông không công bố bất kỳ chứng minh cụ thể nào cả (nghe quen không?!). Fermat còn thách thức các nhà toán học người Anh cùng thời chứng minh nó, nhưng ai cũng bó tay. Bẵng đi 80 năm sau, Euler công bố một chứng minh, nhưng ngặt nỗi, chứng minh của Euler sai. Bạn có thể tin được không? Euler vĩ đại đưa ra một chứng minh sai! Cho đến tận thế kỷ 19, gần 150 năm sau thời đại của Fermat, con người mới có đủ tri thức để chứng minh rằng Fermat đã đúng. Số 26 đúng là con số duy nhất nằm giữa một số bình phương và một số lập phương.

Chuyện này có liên quan gì đến tôi?
Tôi vô tình thấy bài toán này một vài năm trước…

Javascript Crypto Is Useful

Image
In 2014 I wrote my first Javascript crypto library. Since then I've designed and written many such libraries - eight of which are deployed in popular Google products and services. Javascript crypto can help solve many problems, some of which I'm going to discuss in this post.
Some people have strong feelings about Javascript crypto, and with good reason. Writing crypto code in Javascript is difficult, because of the lack of types and the permissive nature of the run-times. You can always shoot yourself in the foot if you don't know what you're doing in any languages, but you don't even hear the shot in Javascript: the run-times don't usually complain, but they just silently give you an incorrect result.
For example, if you have an array x of 10 elements, accessing x[10] or x[11] won't throw an out of bound exception, but return undefined. This behavior is hostile to crypto code, as demonstrated in this neat exploit discovered by Bleichenbacher, the grandfathe…

Google End-To-End

Hôm kia nhóm của tôi phát hành mã nguồn của End-To-End, chương trình mã hóa email mà bọn tôi làm từ hơn một năm nay. Còn rất nhiều việc phải làm trước khi bọn tôi có một phiên bản chính thức, nhưng đi được bước đầu rồi cũng thấy nhẹ nhõm phần nào. Sáng nay đồng nghiệp báo là phần mềm của bọn tôi được nhắc đến trong một bài báo ở trang nhất của tờ New York Times. Trước đó Edward Snowden cũng có nhắc đến. Woohoo!

Đây là phần mềm lớn nhất mà tôi từng tham gia viết. Tôi chịu trách nhiệm thư viện các thuật toán mã hóa. Phần này nhỏ, nhưng mà để viết được tôi cũng phải đọc nhiều sách vở và các bài báo nghiên cứu. Tôi thích những dự án như thế này, vì làm xong thì mình "lời" được một mớ kiến thức mới.

Mặc dù tôi tự tin thư viện của mình sẽ "nâng giá gạo", nhưng mà tôi cũng thấy rất hồi hộp trước ngày phát hành, không chỉ cho phần của tôi mà còn toàn bộ chương trình. Trước giờ tôi…

Thiệt hết biết

"Em tên là <đã lược bỏ> hiện đang là sinh viên du học tại <đã lược bỏ>. Em được biết đến email của anh qua website www.vietmatrix.net để tìm đến sự giúp đỡ của anh. Năm nay là năm học cuối để em hoàn thành xong tấm bằng cử nhân, sau đó em có dự tính trở về VN để làm việc và sinh sống cùng gia đình vì đã xa nhà cũng khá lâu. Nhưng bây giờ em đang bị mắc kẹt vào một tình thế bất đắc dĩ nên em phải nhờ đến sự giúp đỡ của anh. Hết hè 2014 này thì em phải về lại VN vì em đã hoàn thành xong tấm bằng cử nhân, nhưng Bố Mẹ em lại không cho em về mà muốn em phải thi vào trường y khoa ở đây. Bản thân em thì không thích điều đó nên em cũng không có học đàng hoàng cho bài thi nên đã nhận điểm số không tốt. Em nghĩ rằng em làm như thế thì Bố Mẹ sẽ cho em về, nhưng ngược lại em càng bị áp lực hơn nữa. Bây giờ em đang bị kẹt trong hoàn cảnh éo le, về thì không được, mà ở lại cũng không xong, cho nên mới mạo muội tìm đến sự giúp đỡ của anh. Nếu anh có thể giúp em sửa điểm thi củ…

Tôi đi biểu tình ở Mỹ

Image
Tôi đi biểu tình lần đầu là khi biểu tình tự phát chống chính quyền Trung Quốc nổ ra ở Sài Gòn vào năm 2007. Lần đó chẳng làm được gì, không biểu ngữ, không cờ phướn vì thiếu chuẩn bị, ra đến nơi cũng không hò hét được gì, vì cứ bị cảnh sát với dân phòng lùa hết chỗ này sang chỗ khác. Lần thứ hai tôi đi biểu tình, cũng lại là chống chính quyền Trung Quốc, là ngày hôm qua. Bọn tôi biểu tình trước lãnh sự quán Trung Quốc ở San Francisco (SF), rồi diễu hành gần hai cây số đến Union Square, quãng trường trung tâm thành phố.

Theo thông tin trên mạng thì muốn biểu tình phải xin giấy phép và nơi xin là sở cảnh sát San Francisco (SFPD), nên tôi gọi điện lên hỏi. Người ta hướng dẫn là chỉ cần lên điền một cái đơn theo mẫu là được. Hình như có thể nộp qua mạng, nhưng do làm lần đầu nên tôi muốn nộp đơn trực tiếp, để có thắc mắc gì thì hỏi luôn. Tôi cũng hơi lo lắng, không biết có nhận được giấy phép trước thời gian dự kiến của cuộc biểu tình hay không.

Hóa ra đúng là chỉ cần điền một cái đơn t…

Cũng còn mướt

Stats

Image
This week
All time

I guess I should blog in English more often.

Fairy tales in password hashing with scrypt

Update: the author of scrypt said that he's added a warning on top of scryptenc.h.

TL;DR: scrypt is a password-based key derivation function that is often used as a password hashing scheme. libscrypt is considered the official implementation of scrypt, but it's actually a file encryption API with the scrypt function never exposed directly. If one misuses libscrypt for password hashing they may end up with extremely weak hashes.

Password-based key derivation functions (PBKDF) are algorithms that take a password and some non-secret data (e.g., salt), and output one or more secret keys that can be further used in other crypto constructions. These functions are generally made deliberately slow so as to frustrate brute-force attack or dictionary attack on the input password.
scrypt is considered a state-of-the-art PBKDF, but its most common use is as a password hashing scheme, even though it wasn't originally designed for this purpose. The author of scrypt has never released a …

Obama is a liar

Image
Theo Google, một công ty của Mỹ, thì đương kim tổng thống Mỹ là một thằng nói láo, ngu dốt, theo đạo Hồi và cả cộng sản. Mà Google chỉ là dựa vào gợi ý của người dùng Internet thôi nhé: đây là những cụm từ xuất hiện nhiều nhất khi người ta muốn mô tả Obama. Không tin thì bạn thử tìm đi. Thấy chưa? Thấy dân Mỹ chửi Obama như chửi con chưa? Thế mà chẳng thấy ai bị bắt gì cả. Lăng mạ như thế này thì còn thể thống gì nữa. Tự do mà không có khuôn khổ thế này thì loạn mất.

Thế mà nước Mỹ vẫn ổn, vẫn giàu mạnh. Một trăm năm mươi năm nay chuyển giao quyền lực không hề đổ một giọt máu, chỉ có tốn nước miếng thôi.

Trong lúc đó... có một ông tên là Trương Duy Nhất viết blog nói về các "Obama của Việt Nam", chưa dám chửi như chửi con, cũng chẳng dám mắng như chủ mắng đầy tớ, chỉ mới nói nhẹ vài tiếng, nhưng cũng đã được tặng vài cuốn lịch xé chơi qua n…

An idea to solve the CloudFlare Heartbleed challenge

tl;dr: list of values that if any of them is leaked one can recover the RSA private key: \(p\), \(q\), \(d \mod{(p-1)}\), \(d \mod{(q-1)}\), \(c^d \mod q\), and \(c^d \mod p\), where \(c\ = m^e\) and \(m\) is the premaster secret sent by the client.

I plan to take a look at the challenge this weekend, but it seems that someone has solved it in just a few hours. Very nice work. Anyway here's how I think this challenge could be solved: 1. Exploit the fact that if you know any intermediate values in the Chinese Remainder algorithm, you can recover the private key. 2. Search for these intermediate values in the leaked memory.
The private key will be used in two cases:
a) To decrypt the proposed premaster secret from the client.
b) To sign an ephemeral (EC)DH public key.
In both cases you know the value \(c\) and \(m\) in the equation \(c^d =  m \pmod N\), where \(d\) is the private key, and \(N\) is the modulus. To make it faster \(c^d \pmod N\) is carried out using Chinese Remainder…