Posts

Showing posts from September, 2020

Reminder: Livestream trò chuyện với Hieupc

Image
Thứ bảy tuần này 19/9 (22h đêm, giờ Việt Nam), Huân Trương và tôi sẽ làm một buổi livestream với Hieupc. Tham gia cùng chúng tôi còn có bạn Junnie Nguyễn, cựu nhân viên Facebook phụ trách điều tra các vụ lừa đảo, giả mạo, đánh cắp danh tính. Bạn Junnie ở Ireland, đó là lý do mà chương trình sẽ bắt đầu lúc 22h đêm ở Việt Nam, vì phải cân bằng 3 múi giờ khác nhau ;-).Thời gian: (nhấn vào đây để đưa vào Google Calendar)Giờ Việt Nam: 22:00 tối thứ bảy, 19/9/2020Giờ California: 08:00 sáng thứ bảy, 19/9/2020
Livestream:https://youtu.be/wjABQ4ODQkM
Facebook event:https://www.facebook.com/events/347449939946860/
Chương trình sẽ gồm 4 phần:Phần đầu chúng tôi sẽ ôn lại kỷ niệm xưa, cái thuở ban đầu xài dial up với account “chùa” mà vẫn hack hiếc tè le. Chúng ta sẽ biết cơ duyên nào mà Hieupc đến với hacking và con đường dẫn đến vòng lao lý.Chuyện Hiếu đã làm rất sai, ảnh hưởng lớn đến nhiều người, không phải là chuyện nên tôn vinh hay ngưỡng mộ, nhưng Hiếu cũng đã trả giá sòng phẳng. Chúng tôi muố…

Podcast 4.04: Trò chuyện với Hieupc

Image
Hieupc (Ngô Minh Hiếu) là một hacker Gia Lai (không hiểu sao cái xứ này lại có nhiều hacker như vậy, có ai còn nhớ DanTruongX?) bị mật vụ Mỹ lừa bắt vào năm 2013 và bị kết án 13 năm tù vì đã đánh cắp và bán thông tin cá nhân của hàng trăm triệu người Mỹ. Hieupc vừa ra tù vào cuối năm ngoái và đang ở Việt Nam.Tôi đọc câu chuyệncuộc đời của Hiếu trên KrebsOnSecurity thấy nhớ bạn bè và một thời trai trẻ. Tôi có thằng bạn, nhà cũng khá giả, cũng đi du học sớm, cũng hack hiếc dữ dội. Tôi nói với nó, chỉ cần lựa chọn khác nhau một chút, Hieupc và tụi tôi có thể đã đổi vị trí cho nhau. Hai thằng gật gù. Tuổi trẻ hiếu thắng, lại nắm trong tay bao nhiêu quyền lực, muốn hack cái gì cũng được, không có ai hướng dẫn chỉ bảo, không có hình mẫu để noi theo, phải rất tỉnh táo và may mắn mới không sa chân lỡ bước, nhất là khi kiếm tiền dễ quá.Mỗi chọn lựa đều có hậu quả. Hiếu đã chọn sai, để rồi phải trả giá bằng 7 năm tù, ngay trong độ tuổi tươi đẹp nhất của một đời người. Đắt nhưng công bằng và cần…

Why you want to encrypt password hashes

Image
Troy Hunt of Have I Been Pwned fame wrote that because encryption is reversible but hashing is not passwords should be hashed, not encrypted. I think passwords should hashed-then-encrypted, i.e., they are hashed with a slow memory-hard function like Argon, scrypt or bscrypt, then the hashes are encrypted using AES-SIV with a key residing in a remote oracle. I believe this offers the best security at a minimum cost, providing pretty good usability. It is not exactly a new idea. The remote key works as a secret pepperFacebook also uses a remote oracle in their password hashing scheme. My first big project at Google was to modernize our password hashing scheme. I was having so much fun, spending days to design and implement a variant of scrypt in assembly (because I can and because it's actually faster than GCC intrinsics). In the end, I realized, however, it's a game that I can never win. I need a slow memory-hard hash function, but it can't be too slow because of usability…

A history of elliptic curves in tweets

Kepler: so, you see, the orbit of a planet is elliptical. To find where the Earth is, we need a method to calculate the arc length of an ellipse.Newton: This is a fluent problem, and, as usual, it can be solved with an infinite series expansion.Leibniz: Hold my beer, what's a fluent? The arc length of an ellipse is an integral problem. You want to compute $\int f(x)dx$ where $f(x) = \sqrt{\frac{1 - k^2x^2}{1 - x^2}}$ for a certain constant $k$. For that, you have to find a closed form function such that $F'(x) = f(x)$.100 years had passed. The search for Leibniz's closed-form solution for the elliptic integral, that is $f(x) = \int_{c}^{x} R \left(t, \sqrt{P(t)} \right) dt$ where $R$ is a rational function and $P$ is a polynomial of degree 3 or 4, had been fruitless.By the end of the 17th century, Bernoulli -- which one is left as an exercise -- conjectured that the task is impossible. It was finally confirmed by Liouville in the 19th century who proved that elliptic integ…