Như thường lệ, tổ chức bảo mật Whitehat Security lại công bố 10 kĩ thuật hack hay nhất trong năm. Kĩ thuật do một người Việt Nam phát hiện đã tự hào dẫn đầu danh sách.
Kĩ thuật "padding oracle" dùng để tấn công các hệ thống bảo mật đã được các chuyên gia bầu chọn là kĩ thuật hay nhất năm 2010. Kĩ thuật này do Juliano Rizzo và Dương Ngọc Thái phát hiện, cho phép chỉ với rất ít thông tin lộ ra ngoài của hệ thống, có thể dùng để giải mã hoặc mã hoá bất kì thông điệp nào mà không cần đến mật khẩu.
Dương Ngọc Thái đã trình diễn kĩ thuật này để phá hệ thống CAPTCHA tại một hội nghị ở Việt Nam vào tháng 6/2010. Vào tháng 9, sau khi công bố về lỗi này tại hội thảo Ekoparty ở Achentina, Microsoft đã lập tức liên hệ với Thái vì lỗi này gây ảnh hưởng nghiêm trong đến gần như mọi hệ thống sử dụng ASP.NET.
Danh sách 10 kĩ thuật hack của năm 2010:
- "Padding Oracle" trong tấn công mật mã: Juliano Rizzo và Dương Ngọc Thái
- Evercookie: Samy Kamkar
- Tấn công Auto-Complete: Jeremiah Grossman
- Tấn công HTTPS bằng Cache Injection: Elie Bursztein, Baptiste Gourdin, Dan Boneh
- Bỏ qua bảo vệ CSRF bằng ClickJacking và HTTP Parameter Pollution: Lavakumar Kuppan
- Universal XSS trong IE8: Eduardo Vela, David Lindsay
- HTTP POST DDoS: Wong Onn Chee, Tom Brennan
- JavaSnoop: Arshan Dabirsiaghi
- CSS History Hack trong Firefox không cần JavaScript cho Intranet Portscanning: Robert Hansen
- Java Applet DNS Rebinding: Stefano Di Paola
Đáng chú ý là kĩ thuật tấn công DDoS dựa trên một lỗ hổng về kiến trúc của phương thức POST trong HTTP. Đây là một kĩ thuật tương tự Slowloris, dùng cách kéo dài thời gian kết nối để làm cạn kiệt tài nguyên máy chủ.
Năm ngoái, việc Dương Ngọc Thái phát hiện lỗ hổng trong API của Flickr cũng được bầu chọn trong 10 kĩ thuật hack hàng đầu của năm 2009. Với việc xếp thứ nhất trong năm nay, Thái được 1 vé miễn phí tham dự BlackHat 2011, hội nghị hàng đầu trong lĩnh vực bảo mật.
Bình luận
ban co tu hao cho vietnam chung ta khong?
Hình như Dương Ngọc Thái nầy là kỹ thuật bên BKAV thì phải?
Anh Thái trước đây là trưởng phòng An ninh của ngân hàng Đông Á bạn à.
anh thái hiện giờ là admin HVA bạn à,nick anh ấy là mrro
><"
sao ko cơ chứ, phát hiện lỗi để vá lại phòng hacker xấu mà
ngưỡng mộ
Bác người Achen làm nổi bật hình ảnh Việt Nam mình bằng cách mặc áo có cờ tổ quốc
Thik cai ao cua ong ben phai
duy
ủa,có phải đây la Duy (gà) không nhỉ?..nếu nhầm thi cho xin lỗi nhé.
Vi thay day la niem tu hao dan toc nen vo comment cho vui co sao dau ban
,dam manh mieng hoi nao dau ma chem tui ><
Dang dung mobile
duy
ah khong,minh khong dinh hoi gi ca,ma thay cai avatar cua ban giong voi DUy,ban cua minh` nen minh` hoi vay thoi. Thi` neu dung thi` lau roi` khong gap,khoe khong Duy,^^....
Ai dzia.?
"Khi iu chim" ak, wen nha.! Ma nho hok ra
Đây là những người khi phát hiện ra những lỗ hòng và không bao giờ FR rầm trời như bên Bkav bao giờ . Họ giống như những chiến sĩ thầm lặng
chính xác
bạn nói đúng, thực chất BKAV là lạo phần mềm bỏ đi, cài vô hư máy chẳng được ích lợi gì, thùng rỗng kêu to thôi. xài phần mềm miễn phí của nước ngoài tốt gấp ngàn lần.
Co
rat tu hao
Tự hào nhưng không trọn vẹn
Mỗi khi nghe có người Việt Nam nào đoạt giải quốc tế hay làm đc gì đó to lớn, mình thật sự cảm thấy rất vui và tự hào. Tuy nhiên, mình cảm thấy hơi buồn vì đa phần các thành quả đó đều thuộc bên mạng hoặc bảo mật, hiếm hoi lắm mới có những thứ bên công nghệ cao hay trí tuệ nhân tạo,...Có rất nhiều bạn trẻ hiện nay thích nghiên cứu về phần mềm, hack, crack,... Còn nhưng người học về khoa học máy tính thì đếm trên đầu ngón tay. Đó cũng là xu hướng chung của các nước hiện nay.
Dĩ nhiên bảo mật là rất cần thiết. Nhưng nếu cân bằng giữa các bên sẻ giúp ích cho xã hội hơn. Vì không có nhà khoa học lấy đâu ra các công nghệ mới, không có các kỹ sư lấy ai ứng dụng, ứng dụng rồi không lo bảo mật thì lại sinh ra hậu quả.
"Phát minh lại bánh xe" không bao giờ là việc vô ích! Thử hỏi không có những người đi phát minh lại bánh xe thì giờ này mấy xe hơi đời mới toàn dùng bánh xe bò để chạy nhĩ ^^!
Tôi thì lại cho rằng bảo mật, an ninh mạng là những cái quan trọng nhất trong tình hình hiện nay. Vi rút máy tính chẳng khác gì bom nguyên tử cả. Khi bạn bị tấn công, không có Internet, không có điện, không có thông tin... rồi thì bạn sẽ biết.
Còn so sánh cái này với những đứa nhóc nghịch mấy công cụ hack, crack thì xin lỗi, có lẽ bạn không biết chính mình đang nói gì.
khó nghe
Đúng là góp ý, nhưng rất khó nge và đầy kiêu ngạo...Bọn trẻ con nó nghịch hack, crack..cũng là mò mẫm tìm hiểu...cũng tốt...chắc gì đã bằng nó mà nói...
Tôi có so sánh tôi với những đứa đó đâu mà bằng hay không bằng
Mà cái comment ở trên cũng đâu so sánh như vậy. Tôi cũng đâu nói là không tốt, chỉ nói là không so sánh được thôi.
Việc Việt Nam phần lớn đọat giải về bảo mật và phần mềm phản ánh đúng xã hội. Việc đầu tư nghiên cứu công nghệ là rất tốn kém, trong khi nước mình nghèo, mấy ai có đủ điều kiện để đầu tư thiết bị nghiên cứu? Vì vậy mà nhiều bạn chuyển sang tìm hiểu mày mò sách vở và những lĩnh vực không đòi hỏi quá nhiều trang thiết bị.
Đồng ý với bạn
Mình đồng ý với bạn về việc nước mình thực sự thiếu thốn trang thiết bị. Nhưng đó là cho tình hình giáo dục chung của cả nước thôi bạn à :)! Các viện nghiên cứu thì không hẳn là thiếu trang bị mà là thiếu nhân lực :).
Nhưng mình đang nói ở đây là về IT. Chỉ cần một cái máy tính kha khá là có thể nghiên cứu phần lớn các lỉnh vực trong IT đc rồi :)!
Còn về việc các bạn trẻ thích học cái gì thì mình không ý kiến. Không thứ gì cần đến tư duy mà lại vô ích cả.
"Còn so sánh cái này với những đứa nhóc nghịch mấy công cụ hack, crack thì xin lỗi, có lẽ bạn không biết chính mình đang nói gì."
Xin anh Hải Nam NÊU RỎ dòng nào, chổ nào em có sự so sánh đó!!!
Hacking???
Tôi là một người học bảo mật giống như anh thaidn, tôi cũng biết anh thaidn (nhưng có lẽ anh không biết tôi). Vì là dân trong ngành với anh Thái, tuy còn lâu mới xứng tầm của anh, nhưng tôi đủ hiểu tài năng của anh.
Bạn nói hack, crack ... hay báo chí nói hacker tấn công website ... tất cả đều dùng sai từ hack/hacking/hacker ... Bạn thử bỏ thời gian ra tìm hiểu lịch sử, ý nghĩa cũng như tư tưởng nằm bên trong từ bị dùng vô tội vạ - Hack.
Bạn nói "Bọn trẻ con nó nghịch hack ..." cũng là dùng sai từ hack, và bọn "trẻ con" đó có những người tuổi đã đôi mươi ... mà những người học và đam mê bảo mật thường gọi là "Script kiddie" (bạn có thể xem định nghĩa trên wiki).
Không ai trách, hay chê cười những con người ham mê học hỏi. Nhưng hãy dùng "chất xám" của mỗi người cho hiệu quả, ở Việt Nam chỉ đếm trên đầu ngón tay những người như anh Thái.
Chúng ta không thể khá lên nếu mãi mê deface web, up shell ... hay tìm crack. Nếu chúng ta nghiên cứu web apps security, crypto ... như anh Thái, hay tự học, tự tìm hiểu, tự làm crack ... thì cũng đã khác.
tôi tán đồng
"Chúng ta không thể khá lên nếu mãi mê deface web, up shell ... hay tìm crack. Nếu chúng ta nghiên cứu web apps security, crypto ... như anh Thái, hay tự học, tự tìm hiểu, tự làm crack ... thì cũng đã khác."
Không thể nhìn nhận 1 tài năng chỉ vì lúc nhỏ anh ta quậy phá được ^^ Phải không nào các bác
tự ái ah
thôi đi bố, có ngon thì cứ hack như người ta rồi ý kiến, chú chưa đủ trình độ như anh đấy nên ngồi mà ba xạo., làm ngon hơn người ta đi rồi hãy nói
uhm uhm tôi phản hồi chậm
Chúng ta ai cũng từng có 1 thời trẻ dại cả, có ai dám vỗ ngực khi nói lúc trẻ tôi không "nghịch" hacktools, cracktools không? Bắt đầu từ đam mê -> khám phá -> ý thức làm chủ hacktools, cracktools thay vì dùng nó để "phá, để "nghịch" như trước.
Tự hào thay quãng thời gian đấy, để có thể có chúng ta ngày hôm nay
Mong anh Nổ biết chữ để đọc được bài viết này.
vo quyt & mong tay
dung la vo quyt day co mong tay nhon,dung la suc manh cua cong nghe la vo bien
trâu
Mấy ông này học sao mà đầu óc trâu bò thế. không biết khi nào mới được như ổng
Thật đáng học hỏi !!!
với công nghệ phát triển như hiện nay thì bảo mật luôn là vấn đề đáng quan tâm. mong rằng đất nước chúng ta sẽ có nhiều nhân tài như thế.
nhưng mình cũng ước gì được như anh ấy :">
Bình luận bị ẩn