Hội thảo TetCon 2013 – Call for Papers


Hội thảo TetCon 2013 - http://tetcon.org

Đến hẹn lại lên, hội thảo TetCon 2013 sẽ được tổ chức vào ngày 11/1/2013 tại Tp.HCM (địa điểm cụ thể sẽ được thông báo sau). Hôm nay chúng tôi bắt đầu nhận bài tham luận tại địa chỉ http://tetcon.org/cfp.html

Tham luận có thể thuộc các chủ đề như:

* Điện toán đám mây.
* Thương mại điện tử.
* Thiết bị di động.
* Tấn công từ chối dịch vụ.
* Trình duyệt web và HTML5.
* Ứng dụng web và các khung ứng dụng.
* Phần mềm độc hại và an toàn cho người dùng cuối.
* Phòng chống và phát hiện xâm nhập.
* Theo dõi và quản trị an toàn mạng.

Chúng tôi khuyến khích những tham luận bàn về các đề tài như:

* An toàn trong sử dụng điện toán đám mây.
* Đảm bảo an toàn cho một trang ngân hàng điện tử, thanh toán điện tử hoặc website buôn bán sản phẩm.
* Lập trình an toàn trên Android hoặc iOS.
* Những tính năng mới trong HTML5 và ảnh hưởng của chúng đến sự an toàn của web
* Kiện toàn an ninh cho những khung ứng dụng quen thuộc như .NET, LAMP, Ruby On Rails, Django, v.v.
* Bài học rút ra từ những lần bị tấn công từ chối dịch vụ.
* Kiện toàn an ninh cho hệ thống mạng nội bộ doanh nghiệp.
* Kinh nghiệm xây dựng và triển khai các hệ thống phòng chống và phát hiện xâm nhập.

Nếu bạn có những kinh nghiệm thiết thực rút ra từ thực tiễn đảm bảo an toàn thông tin cho sản phẩm hoặc hệ thống thông tin của doanh nghiệp thì hãy gửi cho chúng tôi! Nếu được chấp thuận, hội đồng chuyên môn sẽ góp ý, hỗ trợ bạn hoàn thiện tham luận và bạn sẽ có tối đa 45′, bao gồm thời gian hỏi đáp, để trình bày ở hội thảo. Lưu ý chúng tôi không chấp nhận những bài quảng cáo sản phẩm hay dịch vụ.

Ngày quan trọng
* Hạn chót gửi đề tài: 3/12/2012.
* Ngày công bố chương trình: 10/12/2012.
* Ngày hội thảo: 15/1/2013.

Quyền lợi diễn giả
Nếu được chọn làm diễn giả, bạn sẽ được:
* Mời dự họp mặt tất niên của HVA.
* Nếu bạn không ở Sài Gòn, có thể chúng tôi sẽ đài thọ vé máy bay khứ hồi và khách sạn.

Gửi tham luận tại đây:
http://tetcon.org/cfp.html

Thảo luận, thắc mắc, tất tần tật mọi thứ xung quanh TetCon 2013:
http://www.hvaonline.net/hvaonline/posts/list/43343.hva.

Trân trọng,

thaidn

[HVA News] – Cảnh báo lỗ hổng Persistent XSS vẫn còn ‘dính’ trên site của Google


Nguồn: http://www.hvaonline.net/hvaonline/posts/list/43797.hva

Một thông tin đáng chú ý trong ngày hôm nay là cảnh báo về lỗ hổng Persistent XSS của Google được phát đi bởi Mohit Kumar, chủ biên của trang The Hacker News. [1]

Theo đó thì vào ngày 11/9/2012, Mohit đã gửi thông báo về một lỗ hổng Persistent XSS có trong Google và được bộ phận Google Security Team phản hồi rằng lỗi XSS đó thực ra chỉ khai thác được trên một trong các domain bị giới hạn và kiểm soát nghiêm ngặt (sandboxed domain) ví dự như googleusercontent.com. “Sandboxed domain” đó không chứa các session ID của cookie cho bất kỳ dịch vụ nào của Google. Nói cách khác, nó không giúp truy cập tới bất kỳ dữ liệu nào của Google.com.

Tưởng chừng như mọi chuyện sẽ được Google giải quyết êm đẹp thế nhưng cho tới lúc này tức là đã hơn 2 tháng trôi qua thì lỗi đó vẫn thực sự vẫn làm việc tốt. Điều này được một hacker người Bulgari có biệt danh là Keeper phát hiện và anh ta đã thử tạo một trang đăng nhập Gmail giả mạo lợi dụng lỗ hổng XSS trên để đánh lừa người dùng.

Dưới đây là liên kết và hình ảnh để chứng minh lỗ hổng này thực sự là một vấn đề khá nghiêm trọng mà Google cần nhanh chóng khắc phục:

[+] Demo lỗi XSS của Mohit vào ngày 11/9
http://www.google.com/ig/directory?dpos=top&root=/ig&url=news.thehackernews.com/thn.xml 

[+] Demo lỗi XSS của Keeper vào ngày 13/11
http://www.google.com/ig/directory?url=hosting.gmodules.com/ig/gadgets/file/116774377668678157889/Google_Login.xml 

Trang giả mạo được đặt trong một sandbox domain là gmodules.com nhưng domain chính vẫn là google.com cũng đủ khiến người dùng dễ bị mắc lừa.

Nguy cơ dính XSS trong các sandbox domain đã được Google xem xét và lỗi này không được tính để trao giải thường cho các hacker tìm ra. [2]

manthang – HVA News
(Theo TheHackerNews)

Tham khảo:
[1] http://thehackernews.com/2012/11/exploiting-google-persistent-xss.html 
[2] http://www.google.com/about/appsecurity/reward-program/

[HVA News] – Điểm yếu trong việc áp dụng giao thức bảo mật SSL trên Android


Phương thức thông dụng nhất để bảo vệ luồng dữ liệu truyền tải qua mạng trên nền tảng Android thường là SSL hay TLS ( Secure Sockets Layer và Transport Layer Security ). Hiện có hàng ngàn ứng dụng trên sàn giao dịch ứng dụng Google Play đang áp dụng phương thức này

Một nhóm các nhà nghiên cứu từ các trường đại học về kĩ nghệ khoa học hàng đầu của Hoa Kỳ đã có một nghiên cứu về việc các ứng dụng Android hiện nay chứa hàng loạt sai lầm đáng ngại trong cách ứng dụng SSL/TLS vào việc bảo mật dữ liệu truyền tải qua mạng, điều này dẫn tới khả năng xảy ra các cuộc tấn công kiểu Man-in-the-Middle -1- sẽ khiến các thông tin, dữ liệu nhạy cảm của người dùng như tài khoản giao dịch ngân hàng, thông tin cá nhân, tài liệu mật, bị đánh cắp khi người dùng sử dụng các ứng dụng Android tưởng chừng an toàn này

Nhóm nghiên cứu đã thử nghiệm trên 100 ứng dụng được lựa chọn từ Android market, và họ đã xác định được 41 ứng dụng trong số đó có khả năng bị tấn công đánh cắp thông tin ( tỷ lệ 41% ). Các nhà nghiên cứu đã tạo ra một công cụ tấn công thử nghiệm gọi là MalloDroid, được thiết kế chuyên biệt để khai thác các lỗi về ứng dụng sai cách SSL/TLS trong các ứng dụng android, giúp chỉ ra các ứng dụng này hiện đang khiến người dùng gặp nguy cơ bị đánh cắp dữ liệu mật như thế nào

Họ đã thành công trong việc thu thập các dữ liệu mật của người dùng các ứng dụng bị lỗi áp dụng sai SSL/TLS như Tài khoản ngân hàng, tài khoản các dịch vụ online như Facebook, Twitter, Google, Yahoo, Microsoft Live ID, Box, WordPress, tài khoản truy cập các máy chủ quan trọng, các địa chỉ email chứa thông tin quan trọng…

Nghiên cứu cũng cho thấy việc hoàn toàn có thể chèn và kích hoạt mã độc từ xa vào các ứng dụng Android bị lập trình sai dẫn tới áp dụng sai giao thức SSL/TLS. Các tác giả đã cung cấp rộng rãi nghiên cứu này với tên “Why Eve and Mallory Love Android: An Analysis of Android (In)Security”.

Điều quan trọng cần phải nắm là: đây là vấn đề cực kỳ nghiêm trọng, các lập trình viên với trách nhiệm của mình phải tuân thủ đúng các chỉ dẫn khi áp dụng giao thức SSL/TLS để tránh tạo các lỗ hổng để hacker khai thác và đánh cắp thông tin mật của người dùng

Theo The Hacker News
xnohat – HVA News

Tham khảo:
http://thehackernews.com/2012/10/security-weakness-in-android-app-ssl.html 

Giải thích thuật ngữ:
Phương thức tấn công Man-in-the-Middle: thường hay được viết tắt là MITM, là kiểu tấn công mà tin tặc tìm cách đứng chặn ngay giữa hai máy tính đang truyền tải dữ liệu để lấy cắp thông tin đang truyền tải. Cách vốn hữu hiệu nhất để ngăn MITM là áp dụng SSL đúng cách, lúc này tin tặc có đánh cắp được tất cả các gói tin trung chuyển qua internet thì cũng không có cách gì giải mã được do nó đã bị mã hóa

Lời bàn của biên tập viên HVA News:
Các lỗi áp dụng sai giao thức SSL/TLS này thực sự không mới, bản thân nền tảng Android cũng không yêu cầu nghiêm ngặt trong việc phải áp dụng SSL/TLS một cách đúng đắn, điều này làm Android tỏ ra thua kém khi so sánh với nền tảng iOS.
Đây là lúc cần cảnh báo người dùng, để an toàn, nên tránh sử dụng internet cho các công việc quan trọng như chuyển khoản ngân hàng tại các điểm truy cập internet công cộng. Sẽ an toàn hơn nếu bạn sử dụng kết nối Cellgular ví dụ như 4G LTE, 3G, EDGE, GPRS… thay vì kết nối vào các mạng wifi công cộng.

Hấp dẫn cuộc thi về bảo mật UNS Challenge 2012


 

Trích đăng:

“Bạn muốn làm gì trước khi Tận Thế (2012)?

Trải nghiệm những thử thách hấp dẫn nhất, thoải mái nhất, đậm chất sinh viên nhất!!!!

- Phần thưởng tiền mặt, kèm hiện vật có giá trị.
- Hoàn toàn do sinh viên tổ chức!!!

Cuộc thi Bảo Mật Mạng do CLB bảo mật UNS của UIT tổ chức, anh em có hứng thú thì tham gia cho vui nhé!”

–manthang

Cloud Computing 101


Ngày nay, việc nghiên cứu và triển khai các sản phẩm, dịch vụ trên nền điện toán đám mây (cloud computing hay gọi tắt là cloud) đang ngày càng phổ biến và chứng minh được những tiện ích mà nó mang lại. Về cơ bản thì Cloud là việc sử dụng các tài nguyên tính toán (phần cứng, phần mềm) được phân phối như là một dịch vụ thông qua môi trường mạng (thường là Internet). Cloud đem lại hiệu suất sử dụng tài nguyên cao, khả năng mở rộng rất lớn và nhanh, dễ dàng hơn trong việc cung cấp các hệ thống mới cho người dùng cuối. Cloud cũng mở ra mô hình kinh doanh mới theo hướng tự phục vụ theo nhu cầu, trong đó người dùng sẽ chủ động khởi tạo các tài nguyên, điều chỉnh năng lực tính toán khi cần một cách tự động mà không cần sự trợ giúp của nhà cung cấp dịch vụ. Dưới đây là tóm tắt 3 mô hình dịch vụ và 4 mô hình triển khai chính của Cloud:

Ba mô hình dịch vụ gồm:

  • Phần mềm như là một dịch vụ (Software as a Service – SaaS): cung cấp cho người dùng khả năng sử dụng các thiết bị như máy tính cá nhân, điện thoại thông minh,.. để truy cập qua mạng tới các ứng dụng đang chạy trên một hạ tầng Cloud. Người dùng không thể quản lý các thành phần hạ tầng bên dưới của Cloud bao gồm mạng, máy chủ, lưu trữ, hệ điều hành và ngay cả việc tinh chỉnh cho ứng dụng cũng bị giới hạn.
  • Nền tảng như là một dịch vụ (Platform as a Service – PaaS): cung cấp cho người dùng khả năng triển khai trên hạ tầng Cloud các ứng dụng do chính người dùng tạo ra bằng các ngôn ngữ lập trình, thư viện, công cụ được hỗ trợ bởi nhà cung cấp Cloud. Tương tự như SaaS là người dùng không được quản lý các thành phần bên dưới của Cloud nhưng có thể kiểm soát việc triển khai ứng dụng và chỉnh sửa một số thiết lập về môi trường mà ứng dụng đó hoạt động.
  • Hạ tầng như là một dịch vụ (Infrastructure as a Service – IaaS): cung cấp cho người dùng một lượng các tài nguyên tính toán như bộ xử lý, bộ nhớ, lưu trữ, kết nối mạng để người dùng có thể tùy ý triển khai và thực thi các phần mềm mà họ muốn. Người dùng không có khả năng quản lý các thành phần hạ tầng bên dưới của Cloud nhưng có thể điều khiển được việc lựa chọn và cài đặt hệ điều hành cùng các ứng dụng khác.

..còn tiếp

–manthang

Giao lưu offline chào Ubuntu 12.10 tại TP. HCM vào 21/10/2012


Mình xin trích nguyên văn từ thông báo về sự kiện ở đây. Đây sẽ là lần thứ 2 mình tham gia offline do cộng đồng Ubuntu-VN tổ chức, ấn tượng về lần trước khá tốt đẹp và vui vẻ.


Thời gian: 9h30 đến 11h30 chủ nhật, ngày 21 tháng 10 năm 2012.
Địa điểm: TikTak Café – 284/10B Lê Văn Sỹ, F.14, Q3, TP HCM (Hướng dẫn đi đến ở phần cuối).
http://www.facebook.com/TikTakCafe

Nội dung chính:

  • Chia sẻ kinh nghiệm – giao lưu là chủ yếu, các bạn có thể khoe những gì mình đã học được biết được và giúp đỡ các bạn khác.
  • Một vài trò chơi nho nhỏ với các phần quà lưu niệm.
  • Cùng nhau cài đặt và sử dụng ubuntu bản mới. (Các bạn muốn cài nhớ chuẩn bị laptop và USB 2GB).

Một vài điểm mới lần offline này:

  • Với hình thức hỗ trợ giao lưu các bạn sẽ chủ động nội dung trao đổi với mọi người, (phong cách barcamp), dịp này là để kết nối mọi người.
  • Sẽ có một phòng riêng thoải mái cho cả hội trong quán.
  • Tiền tài trợ sẽ được dùng để chuẩn bị thức ăn nhẹ / trái cây. Các bạn sẽ tự gọi phần nước uống (think of free as in free speech, not as in free beer).
  • Nếu trưa vẫn còn muốn ăn uống nhậu nhẹt phong cách Việt Nam thì lúc đó tới phiên các bạn tổ chức nha.
  • Nếu ai ở gần địa điểm và có nhiều thời gian thì có thể giúp một số việc như in sticker, hướng dẫn các thành viên. Liên hệ mình: (afterlastangel .at. gmail.com) hoặc bạn Phương Anh (bnphuonganhvn .at. gmail.com).
  • Các lần offline trước có các bạn nữ tham gia nhưng hơi e thẹn không tham gia giao lưu nhiều. Lần này sẽ khuyến khích tặng 5 voucher nước uống cho 5 bạn nữ đến tham gia sớm nhất.

Hướng dẫn đến quán:

  • Quán nằm trong hẻm 284. Bên phía trường đại học Sư Phạm (cầu Lê Văn Sỹ). Trước hẻm có một tiệm bánh ABC. Hẻm cũng khá rộng.
  • Các bạn có thể đi xe bus số 7 (Bến Xe Chợ Lớn – Gòp Vấp) hoặc 28 (Bến Thành – Chợ Xuân Thới Thượng) xuống tại chợ Nguyễn Văn Trỗi. Đi bộ vào quán không xa.

[eBook] – Triển khai hệ thống giám sát và cảnh báo qua Email, SMS với Nagios


Giới thiệu

Ngày nay, hệ thống giám sát đóng một vai trò quan trọng giúp theo dõi, kiểm tra sức khỏe, cung cấp thông tin và đưa ra cảnh báo khi có vấn đề xảy ra với các thành phần trong hạ tầng, ứng dụng công nghệ thông tin của tổ chức. Một hệ thống giám sát tốt cần có khả năng phát hiện nhanh chóng và chính xác những sự cố xảy ra và kịp thời gửi thông báo qua nhiều phương tiện như màn hình, email, tin nhắn tới người quản trị hệ thống.

Nhằm đáp ứng nhu cầu thực tế của nhiều tổ chức và doanh nghiệp trong việc giám sát và cảnh báo kịp thời tình trạng của hệ thống, tài liệu này sẽ đi vào tìm hiểu và cấu hình tính năng gửi thông báo của Nagios qua email và qua SMS sử dụng thiết bị USB 3G làm modem. Ngoài ra, tài liệu còn cung cấp thêm hướng dẫn giúp kiểm tra trạng thái up/down của Oracle Database và máy Unix/Linux sử dụng các plugin của Nagios. Riêng việc thực hiện cảnh báo qua SMS đã được mình thực hiện thành công trên cả môi trường ảo hóa lẫn máy chủ thực và bước đầu làm việc tốt với thiết bị D-Com 3G của Viettel.

Tài liệu thích hợp với các quản trị viên đã làm quen với hệ điều hành Linux và có kiến thức cơ bản về công cụ giám sát mạng Nagios. Dù đã thử nghiệm kỹ lưỡng nhưng có thể vẫn còn thiếu sót nên rất mong nhận được phản hồi tích cực từ mọi người.

Chân thành cảm ơn!

Trang bìa:

Tải về:
http://www.mediafire.com/?0hep1szmnhoq6p5

–manthang