Posts

Internet Banking: cấm không có nghĩa là an toàn, an toàn không có nghĩa là khách hàng sẽ muốn xài

Nhân cuộc tranh luận về mật khẩu Internet Banking tôi mới nhớ năm 2016 tôi phát hiện một cách vô hiệu hóa hàng loạt tài khoản của một vài ngân hàng trong nước. Thời điểm đó, một người xấu có thể dễ dàng vô hiệu hóa vài chục nghìn tài khoản. Nếu có sự chuẩn bị trong 1-2 tuần, hoàn toàn có thể vô hiệu hóa vài trăm nghìn tài khoản. Tôi đã thông báo cho các bên liên quan.

Các dịch vụ Mobile Banking mà tôi xem đều sử dụng số điện thoại để làm tên người dùng. Tôi tìm thấy một cách để xác định một số điện thoại bất kỳ có sử dụng dịch vụ Mobile Banking của một số ngân hàng trong nước. Tôi viết một chương trình, chạy trong 2 ngày cuối tuần thì tìm được gần 1500 tài khoản. Việc làm này được sự đồng ý của bên ngân hàng.

Nếu chạy lâu hơn, tối ưu chương trình, tìm được vài trăm nghìn tài khoản là chuyện trong tầm tay. Sau khi đã có danh sách tài khoản, chương trình của tôi có thể tạo ra sự kiện đăng nhập sai và từ đó vô hiệu hóa các tài khoản, vì các ngân hàng này đều thực hiện chính sách "kh…

Hang Sơn Đoòng

Tuần rồi tôi may mắn có được một trải nghiệm khó quên khám phá hang Sơn Đoòng ở Vườn Quốc Gia Phong Nha Kẻ Bàng. Trước khi đi tôi có xem thoáng qua vài hình ảnh của Sơn Đoòng, nhưng thật sự không hình ảnh hay bút mực nào có thể diễn tả được sự kỳ vĩ mà tôi lần đầu được chiêm ngưỡng. Có lúc trong hang tôi cứ ngỡ là đang du hành vào trung tâm trái đất, nhưng có lúc tưởng rằng đang bò lên bộ não của một người khổng lồ ở một hành tinh khác, rồi có lúc lại ngỡ rằng đang ngược thời gian trở về quá khứ vài trăm triệu năm để ăn, ngủ và tắm cùng với đá và hóa thạch già hơn khủng long.

Không ai có thể sống trong lòng Sơn Đoòng mà không thấy mình nhỏ bé, không đáng kể. Đời người sinh lão bệnh tử, một vòng luân hồi cứ ngỡ trăm năm nhưng kỳ thực chỉ như cái chớp mắt của Mẹ Thiên Nhiên. Lặng nhìn những con cá không màu không mắt sinh ra rồi chết đi trong một vũng nước bé tẹo giữa một khoảng không vô tận, lòng tôi dấy lên một nỗi thương cảm khó tả, không biết cho cá, cho người, hay cho chính mình.

C…

Công cụ giải mã WannaCry

Một ý tưởng đơn giản mà đến giờ mới có người thực hiện: tìm kiếm chìa khóa để giải mã dữ liệu trong bộ nhớ.

Tôi chưa sử dụng công cụ https://github.com/aguinet/wannakey, nhưng theo như tác giả (https://twitter.com/adriengnt) thì trên Windows XP chìa khóa sẽ vẫn còn nằm trong bộ nhớ, còn trên Windows 10 chìa khóa đã bị xóa. Nếu bạn chạy Windows XP, từ lúc bị nhiễm WannaCry đến giờ chưa tắt máy thì vẫn có cơ hội lấy lại dữ liệu mà không cần phải trả tiền chuộc.

Nếu đã tắt máy rồi hoặc không sử dụng Windows XP thì chỉ còn cách bỏ tiền ra chuộc lại dữ liệu. Tự mua bitcoin không khó. Nếu không biết cách tôi có thể mua giùm, hoàn toàn không lấy phí gì thêm. Nếu số lượng máy tính quá lớn, nên thương thảo với đám tống tiền. Có vẻ như họ sẵn sàng giải mã không lấy tiền nếu biết cách nói chuyện.