Posts

Showing posts from July, 2018

The Internet of Broken Protocols: Showcase #7

(complete list of showcases: https://vnhacker.blogspot.com/search/label/The%20Internet%20of%20Broken%20Protocols . Showcase #6 was taken down because the protocol is not public) I think I figured out the answer to this new challenge, but I haven't verified it yet. So be aware that it may be unsolvable. Update: Without one more modification, the challenge is unsolvable AFAICT. The modification is: the public keys are sent as SubjectPublicKey . The challenge is the Bluetooth ECDHE protocol with a twist: the public keys are now validated as valid points on curve. Everything else is kept the same. Can you break it? The Bluetooth ECDHE protocol been found vulnerable to an elegant invalid curve attack. The full paper can be found here . I summarized the attack in this tweet . Tal Be'ery wrote a longer explanation .

Mastodon

Image
Hôm trước tôi giới thiệu Mastodon hơi vội vàng, nên giờ tôi muốn chia sẻ thêm một chút thông tin về công nghệ mạng xã hội này. Tôi gọi là công nghệ mạng xã hội vì Mastodon cho phép chúng ta tự xây dựng mạng xã hội cho riêng mình và kết nối với các mạng xã hội khác trên toàn thế giới. Nói cách khác, Mastodon là mạng của mạng. Mastodon phổ biến ở các nước Nhật, Đức, Áo, Pháp và đã có tổng cộng hơn 1.4 triệu người dùng. Dự án của Mastodon trên GitHub thu hút 470 lập trình viên tham gia đóng góp, chứng tỏ nó là một dự án nghiêm túc và được sự ủng hộ của cộng đồng. Mỗi người có thể tham gia vào một hoặc nhiều mạng Mastodon có sẵn ( danh sách ). Các mạng này liên kết với nhau, tin nhắn từ mạng này có thể xem ở mạng khác (mỗi mạng Mastodon cũng giống như một Page hoặc một Group trên Facebook, nhưng không bị Facebook kiểm soát). Ai không thích các mạng có sẵn, có thể tự thiết lập một mạng với luật chơi của riêng mình. Các thống kê về mạng Mastodon (xem ở  https://dashboards.mnm.socia

Minds không mã hóa nội dung chat

Trong bài trước tôi có nói Minds mã hóa nội dung chat, nhưng lưu chìa khóa giải mã trên máy chủ. Chìa khóa giải mã được bảo vệ bằng mật khẩu của người dùng, nhưng mật khẩu này máy chủ biết. Nói cách khác, máy chủ Minds hoàn toàn có thể giải mã nội dung chat. Tôi nhớ ra tôi chỉ mới xem mã nguồn app của Minds trên điện thoại, chưa xem phiên bản web ở địa chỉ https://minds.com. Tôi xem thì phát hiện phiên bản này không mã hóa nội dung chat. Nói cách khác, máy chủ Minds không cần làm gì cũng có thể xem được nội dung chat. Nếu bạn sử dụng Minds, không nên gửi những nội dung nhạy cảm qua chat. Tôi đã từng nghĩ Minds muốn bảo vệ riêng tư của người dùng, chỉ là họ không biết làm sao. Để giúp đỡ họ, tôi thông báo những lỗ hổng này cho Minds và đề nghị họ phải gỡ bỏ quảng cáo về "end-to-end encryption", cảnh báo người dùng về điểm yếu trong dịch vụ của họ và ngay lập tức tiến hành sửa lỗi. Nhưng tôi đã lầm. Minds không gỡ bỏ quảng cáo, không cảnh báo người dùng và cũng không c

Luật chơi

Thử tưởng tượng Việt Nam tham dự World Cup. Đội bóng của chúng ta thi đấu với đội chủ nhà nhiều tiền của và quyền lực. Đá được vài phút ai cũng thấy trọng tài có vẻ thiên vị chủ nhà. Nói chung luật chơi rất không công bằng. Bạn nghĩ chúng ta nên tiếp tục thi đấu hay là nghỉ giữa chừng? Nếu nghỉ, chúng ta sẽ bị xử thua 0-3, chấm hết. Khiếu kiện gì đi chăng nữa thì cũng không thay đổi kết quả. Chúng ta cũng không có nhiều bằng chứng để khiếu kiện, vì mới thi đấu vài phút thôi mà. Dân chuyên nghiệp phải chơi đến cùng, dẫu luật chơi thế nào đi chăng nữa. Nếu thắng thì chiến thắng đó rất tuyệt vời. Nếu thua, không sao cả, không ai kỳ vọng ta sẽ chiến thắng. Cách chúng ta thi đấu máu lửa, cống hiến, nhưng thua vì trọng tài và chủ nhà chơi xấu sẽ khiến khán giả phải suy nghĩ. Đối thủ càng muốn ta bỏ cuộc thì ta càng phải chơi hết mình. Chúng ta có thể giận dỗi, dừng trận đấu lại để nói chuyện với trọng tài, nhưng nếu muốn có cơ hội chiến thắng thì phải tiếp tục chơi cho đến hết trận.

Chia sẻ dữ liệu dân cư: nguy cơ và gợi ý

Chủ tịch Hà Nội Nguyễn Đức Chung đề xuất chia sẻ dữ liệu trên chứng minh thư và hộ chiếu của người dân với các ngân hàng, cơ quan công chứng và các ngành khác. Việc người đứng đầu thủ đô muốn làm cho cuộc sống người dân thuận tiện hơn và kiếm thêm một ít tiền cho ngân sách là đáng hoan nghênh. Dẫu vậy tôi nghĩ cần phải cẩn trọng trong việc chia sẻ dữ liệu và cách thức chia sẻ, để không xâm phạm quyền riêng tư của người dân, tạo điều kiện cho tội phạm đánh cắp danh tính (identity theft) bùng nổ, hoặc tạo ra một mục tiêu lý tưởng cho các hacker Trung Quốc. Thông tin trên chứng minh thư là PII, không thể tùy tiện chia sẻ Chủ tịch Hà Nội nói rằng thông tin trong chứng minh thư và hộ chiếu không phải là bí mật đời tư, nên bà con đừng lo. Thông tin trên chứng minh thư là dạng thông tin xác định được danh tính và nơi ở của từng người, thuật ngữ chuyên ngành gọi thông tin này là  personally identifying information  (PII). PII thường không quá nhạy cảm, nhưng khi được sử dụng để liên kết c

Facebook và Minds

(trả lời email của một bạn sinh viên hỏi ý kiến về mạng xã hội Minds) Bài này đã đăng trên tờ Người Đô Thị . Tôi không có Facebook, tôi đã xóa tài khoản từ năm 2010, vì tôi muốn bảo vệ  cuộc sống riêng tư  và  năng suất lao động . Tôi không thích Facebook vì họ có quá nhiều thủ thuật khiến người dùng trở nên phụ thuộc, luôn bất an không biết mình có đang bỏ lỡ gì hay không, ray rức bực dọc nếu chưa "up hình" hay cập nhật status mới, báo cho cả thế giới biết mình đang nghĩ gì làm gì ở đâu với ai. Thiền sư Thích Nhất Hạnh nói muốn thảnh thơi, hạnh phúc thì phải  an trú trong hiện tại , nhưng Facebook khiến người ta lúc nào cũng sống ở tương "like". Lúc ở nhà thì muốn đi chơi để có hình mới "up Facebook", lúc đi chơi chỉ muốn về nhà để "up hình", chưa về tới nhà nhưng trong đầu đã lởn vởn suy nghĩ "hình này nên viết chú thích ra sao". Tôi hiểu có cách sử dụng Facebook thông minh, biến nó thành công cụ để cải cách xã hội, như nhiề