Posts

Showing posts from September, 2015

HTTPS for blogspot.com - blogspot.com hỗ trợ HTTPS

As announced on the Google Online Security Blog, blogspot.com is now supporting HTTPS. Please update your bookmark, and from now on please visit this blog via HTTPS: https://vnhacker.blogspot.com.

If you have blogs on blogspot.com, you should enable HTTPS, and give your readers and yourself some privacy and security. Please leave a comment or email me at thaidn@gmail.com if you have any troubles after turning on HTTPS, I'm happy to help fix them. Unfortunately, blogs with custom domains are not supported now, but will be in the foreseeable future.

While HTTPS does not ensure 100% anonymity (not even close!), but it's still a very good start -- simply enabling HTTPS makes it much harder for anyone to uncover the identities of anonymous bloggers. We still have a long way to go, but we're working very hard on it, and we'll be back soon with more updates.

Please help spread the news!

--

Như đã thông báo trên blog Google Online Security, blogspot.com đã hỗ trợ HTTPS. Vui lò…

djb

Tôi đi hội thảo, vô tình ngồi kế bên djb. Ổng trông cũng... bình thường, cũng ngủ gục (giống tôi!) khi bài phát biểu chán quá =), nhưng mà ngồi kế một người đặc biệt như djb khiến tôi thấy có thêm cảm hứng học và làm ra cái mới.

Những ai làm quản trị hệ thống Linux hay UNIX có thể không nhớ djb là ai, nhưng mà nhắc qmail hay djbdns chắc nhiều người sẽ biết. Email và DNS là hai dịch vụ quan trọng nhất của Internet. Lúc bấy giờ, khoảng thập niên 80 và đầu 90 của thế kỷ trước, các máy chủ email và DNS thường chạy Sendmail và BIND9. Vấn đề là hai phần mềm này có cực kỳ nhiều lổ hổng bảo mật. djb viết qmail và djbdns để thay thế chúng và tuyên bố "gây sốc" là phần mềm của ông không có lỗi.

Dĩ nhiên là không ai tin, rất nhiều người lao vô tìm lỗi. djb phát hành phiên bản đầu tiên của qmail vào năm 1996, nhưng cho đến tận 10 năm sau đó không có ai phát hiện ra bất kỳ vấn đề gì. Năm 2005, Georgi Guninski, một huyền thoại khác của ngành bảo mật, phát hiện ra một lỗi tràn bộ đệm, nhưn…

TetCon Saigon 2016

In the past few months many people have asked me if there will be TetCon Saigon 2016. My answer so far has been "probably." Today I'm excited to announce that I've finally decided to do it again. Time, venue, CFP, tickets, volunteer opportunities, etc. will be announced soon. Please watch https://tetcon.org and this blog for more updates.There will be also training. I will teach crypto. Bruce and Thug4li3f might teach reversing. The classes are not free of charge, but we will have up to 100% scholarships for promising students and young researchers.All proceeds from the conference and my class, after costs are covered, will go to charity and civil society organizations in Vietnam, e.g., Com Co Thit, Sach Hoa Nong Thon, etc.Stay tuned!

Đếm

Noi gương các nhà khoa học trẻ đếm số bài báo, tôi đề nghị chúng ta cũng đếm.

Từ rày về sau, giới thiệu lập trình sư, phải nói đầy đủ, "Đây là lập trình sư Trình Vẫn Cao, người đã viết 50 ngàn dòng code, nếu tính luôn comment là hơn 100 ngàn dòng, tất cả đều đã được công bố trên các máy chủ quốc tế của GitHub".

Lúc giới thiệu doanh nhân khởi nghiệp, phải nhấn mạnh, "CEO Phao Lờ Đờ, người đã có 407 ý tưởng khởi nghiệp, là chủ tịch Câu Lạc Bộ Những Nhà Khởi Nghiệp Trẻ có hơn 11 ngàn like trên Facebook. Với ý tưởng lập sàn giao dịch ý tưởng khởi nghiệp, Đờ và đồng sự đã thắng giải thưởng 100 triệu đồng của Quỹ Ý Tưởng Khởi Nghiệp Quốc Gia Việt Nam và với số tiền này, họ đang lên kế hoạch bành trướng ra toàn thế giới".

Khi giới thiệu kỹ sư bảo mật, phải ghi rõ, "Chuyên gia Hắc Đau Cơ, người đã tìm thấy 6 lổ, trong đó có 3 lổ khi …

Why not validate Curve25519 public keys could be harmful

Image
Update: see this post for a real world protocol that is broken if Curve25519 public keys are not validated.

Update: comments on Twitter.

Most users of Curve25519 believe that they don't have to validate public keys. I used to believe that too until I saw what could go wrong.

Recently I reviewed a protocol which could be simplified as follows
1. Alice and Bob perform the classic unauthenticated Diffie-Hellman dance. They obtain some shared keys at the end of this step.
2. Alice uses the shared keys to encrypt her data, and the resulting ciphertext is broadcast over radio (Bluetooth, WIFI, etc.) Since only Bob has the shared keys, nobody else could see the data.

This is more or less the same as SSL, except that the key exchange is unauthenticated. The designers have good reasons to believe that leaving the protocol unauthenticated poses a low risk only. They do their homework, and decide to use Curve25519, a state of the art Diffie-Hellman function. It turns out that this choice wea…

Mùa hè đô la

Một bạn sinh viên đang học ở Việt Nam, sang Mỹ thực tập, 3 tháng, lãnh 600-700 chai, trừ thuế má ăn uống chơi bời đã đời, đem về nhà cỡ 300 chai.Một thống kê gần đây cho thấy lương trung bình của kỹ sư CNTT ở Việt Nam là gần 19 chai/tháng, tức là thua lương của bạn kia khoảng 10-12 lần, nếu tính sau thuế thì khoảng 7-8 lần.Như vậy thay vì đi làm toàn thời gian, các kỹ sư của chúng ta nên nghỉ, đi học, đợi hè đến đi thực tập ở Mỹ. Mỗi năm làm ba tháng thôi, đủ sống cả năm.