Tetcon Saigon 2015 và những nghiên cứu giá trị

Dương Ngọc Thái (phải) giới thiệu về bài trình bày "Rosseta Flash" của Michele Spagnuolo (trái), kỹ sư an toàn thông tin tại Google tại Tetcon Saigon 2015 tổ chức tại khách sạn Majestic Sài Gòn (TP.HCM) - Ảnh: T.Trực

Khác với Tetcon 2012, sự kiện năm nay có những bài trình diễn từ những diễn giả nổi tiếng thuộc các tổ chức trong và ngoài nước, cùng các đại diện từ Google, Facebook và Microsoft, thu hút gần 400 người tham dự là sinh viên, thành viên các nhóm nghiên cứu bảo mật, những cơ quan tổ chức và đội ngũ từ những doanh nghiệp quan tâm đến an ninh mạng, bảo mật.

Khởi đầu Tetcon Saigon 2015 với #Bugbounty ("mời gọi cung cấp lỗ hổng bảo mật") của Hoàng Quốc Thịnh (biệt danh g4mm4), một tên tuổi trong giới bảo mật tại Việt Nam, đã từng báo nhiều lỗi bảo mật trong các sản phẩm dịch vụ của Google, Yahoo, Facebook.

Michele Spagnuolo, kỹ sư bảo mật ứng dụng web trong nhóm nghiên cứu an toàn sản phẩm của Google đã giới thiệu về "Rosseta Flash", kỹ thuật tấn công khách truy cập website qua việc "lợi dụng" JSONP và Flash.

"Rosseta Flash" đã đem về giải thưởng Pwnie 2014 danh giá trong lĩnh vực bảo mật cho Michele Spagnuolo.

Trong nghiên cứu của mình, Michaele Spagnuolo cho biết các trang web lớn như Google, Yahoo, YouTube, LinkedIn, Twitter, eBay, Flickr, Baidu... cũng mắc phải lỗ hổng này. Anh đã cung cấp thông tin và phối hợp khắc phục với các website trên trước khi công bố chi tiết.

Bài nói chuyện về lỗ hổng trong SSL/TLS của Phạm Tùng Dương (Kai) tạo được luồng trao đổi khi thông tin "vài hệ thống ngân hàng lớn tại Việt Nam và các cổng thanh toán trung gian vẫn còn vướng lỗi này". Diễn giả Phạm Tùng Dương cũng đưa ra giải pháp phù hợp và tiết kiệm thay thế cho những gói chứng thực số trị giá "nghìn đô".

Đáng chú ý, chàng trai sinh viên Ý Matteo Beccaro đã đến và chia sẻ một bài nói chuyện thú vị về việc cơ chế bảo vệ yếu kém trong các thẻ dùng công nghệ giao tiếp tầm gần (NFC) thường gặp như thẻ giữ xe, thẻ đi xe điện... "giúp" hacker có thể tạo ra bản sao chép thẻ thật có thể sử dụng như thẻ thật với thời gian điều chỉnh tùy ý.

Hiện còn là sinh viên, Matteo Beccaro đã tham gia diễn thuyết về những nghiên cứu của mình tại các hội nghị bảo mật lớn trên thế giới như DEFCON 21, 30C3, BlackHat US 2014 và BlackHat EU 2014 Arsenal.

Dương Ngọc Thái có bài giới thiệu ngắn về Project Movement, cho người tham dự cái nhìn tổng quan về mô hình trao đổi thông tin trên thế giới hiện nay và giải pháp trao đổi an toàn, bảo đảm tính riêng tư.

Màn "nội soi" mã độc Code4HK lây nhiễm smartphone Android và iPhone của người biểu tình tại Hong Kong của hai diễn giả Phạm Trần Minh Triết (trietptm) và Nguyễn Văn Ngôn cho thấy mức độ tinh vi và khả năng "quậy phá" khi đã thâm nhập vào thiết bị của nạn nhân.

Tetcon Saigon 2015 còn có các bài giới thiệu về tiền kỹ thuật số Bitcoin của Loi Luu, Peter Hlavaty (thành viên nhóm KEEN) giới thiệu các mô hình xây dựng chương trình khai thác lỗi, và Nguyễn Anh Quỳnh với "thư viện dịch ngược cho kiến trúc x86".