Posts

Những người tử tế

Image
Hôm trước có một công ty nhờ tôi tư vấn về công nghệ thông tin. Tôi chỉ nói chuyện một buổi, cũng không giúp được gì nhiều, nên khi họ hỏi số tài khoản để chuyển thù lao tôi nói thôi khỏi và nhắn là nếu mấy anh có lòng thì đóng 1-2 triệu gì đó cho quỹ Cơm Có Thịt là được.

Tôi tưởng họ quên rồi nhưng ai dè hôm nay họ gửi email này thấy vui quá nên tôi xin phép họ cho đăng trên blog.
Chào Thái,
Mình xin lỗi vì thông tin gửi bạn khá muộn sau khi được sự giúp đỡ của bạn.


Bên mình đã góp 10tr vào quỹ “Cơm có thịt”. # Đây là quỹ mà bên mình lập ra :
https://www.facebook.com/Quy.Trai.tim.Dai.Viet/?fref=nf
1 lần nữa cảm ơn bạn đã giúp đỡ bên mình. Chúc bạn nhiều sức khoẻ!

Sự cố Vietcombank, một góc nhìn kỹ thuật

Image
(bài đã đăng trên www.vnsecurity.net/research/2016/08/13/Ve-su-vu-khach-hang-Vietcombank-bi-mat-tien.html, thực hiện chung với superkhungcrazyboy)
Cập nhật 16/08/2016: vì hiểu lầm trong trao đổi giữa hai bên cho nên chúng tôi đã không nhận được tài khoản thử nghiệm, chứ không phải Vietcombank không muốn gửi. Chúng tôi giữ nguyên ý kiến Smart OTP là một thiết kế không tốt, cần phải được điều chỉnh. Dẫu vậy cũng cần phải nói rõ chúng tôi không có lý do để tin rằng lỗ hổng mà chúng tôi phát hiện vẫn có thể khai thác được. Các kỹ sư Vietcombank đã phản hồi rất tích cực, chuyên nghiệp và cầu thị. Chúng tôi đã từng chứng kiến kỹ sư ở Silicon Valley thiết kế các giao thức tệ hơn Smart OTP rất nhiều và không trả lời khi chúng tôi liên lạc báo lỗi. Thiếu kỹ sư chuyên trách an toàn thông tin là căn bệnh lâu năm của Việt Nam, gần đây bắt đầu hành hạ “người bệnh", biểu hiện qua các sự cố bảo mật liên tục. Trao đổi với nhóm kỹ sư Vietcombank chúng tôi nhận thấy đây là một đội ngũ có chuyên…

The Internet of Broken Protocols: Showcase #4

(complete list of showcases: https://www.hyundaihatinh3s.com/search/label/The%20Internet%20of%20Broken%20Protocols)

Administrative note: I just posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solution to showcase #1. Some readers are way smarter than me, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've taught me a lot with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir answers.

Now some of you would found this new showcase really lame, but it's pretty much what I found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild (with some minor changes to simplify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocol). So beautiful, that's my first thought. I guess some people love collecting stamps and I love collecting terrible protocols ;=)

Updated: solution posted, sorry for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delay!

---

This is an one time password (OTP) protocol. It gives users an OTP that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can use to aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticate against a server. Your task again is to identify any weaknesses. You can leave your findings in a comment or email me at thaidn@gmail.com. I'll update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post with my solution in a few days (I have reason for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delay).

Let Alice denote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user and Bob cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server. Bob has Alice&#…