Các lỗ hổng trên phần mềm nhúng

Theo http://electronicdesign.com/, trên phần mềm nhúng có các lỗ hổng sau:
Loại 1 gồm
- Chèn mã kiểu SQL Injection
- Lỗ hổng định dạng kiểu Format-String Vulnerabilities
Loại 2 Lộ thông tin thông qua Normal Channel, Errors channel, Covert channel và các loại lỗ hổng đặc biệt khác như qua OpenSSL
Theo Somesh Jha có những nguy cơ sau với phần mềm nhúng Slide

Các công nghệ đảm bảo an toàn phần mềm

1. Address Space Layout Randomization (ASLR)

ASLR là tính năng bảo mật khiến vị trí dữ liệu của chương trình được sắp xếp một cách ngẫu nhiên trong bộ nhớ. Trước ASLR, vị trí dữ liệu của chương trình trong bộ nhớ có thể dự đoán được, làm các cuộc tấn công trên chương trình đơn giản hơn. Với ASLR, kẻ tấn công phải đoán đúng vị trí trong bộ nhớ khi cố gắng khai thác lỗ hổng trong chương trình. Dự đoán không chính xác có thể dẫn đến việc chương trình bị treo, do đó kẻ tấn công sẽ không thể thử lại.

Tính năng bảo mật này cũng được sử dụng trên các phiên bản Windows 32-bit và nhiều hệ điều hành khác. Tuy nhiên trên các phiên bản Windows 64 bit, ASLR mạnh hơn rất nhiều. Hệ thống 64-bit có không gian địa chỉ lớn hơn nhiều so với hệ thống 32-bit, do đó ASLR cũng hiệu quả hơn nhiều.

2. Data Execution Protection (DEP)

DEP cho phép hệ điều hành đánh dấu một số khu vực trên bộ nhớ dưới dạng “non-executable” (không được thực thi) bằng cách thiết lập “NX bit”. Vùng bộ nhớ này chỉ được phép lưu trữ dữ liệu chứ không thể thực thi các lệnh sử dụng.

Ví dụ, trên hệ thống không DEP kẻ tấn công có thể sử dụng một số loại buffer overflow (lỗi tràn bộ đệm) để viết mã vào vùng bộ nhớ của ứng dụng sau đó có thể được thực hiện. Với DEP, kẻ tấn công có thể viết mã vào vùng bộ nhớ của ứng dụng - nhưng khu vực này sẽ được đánh dấu là không thể thực thi không thể được thực hiện giúp ngăn chặn cuộc tấn công.

Trên hệ điều hành Windows 64-bit có DEP dựa trên phần cứng (nếu bạn có CPU hiện đại, các phiên bản Windows 32-bit cũng hỗ trợ DEP dựa trên phần cứng). Tuy nhiên, DEP luôn được kích hoạt đối với các chương trình 64-bit, trong khi theo mặc định, nó bị vô hiệu hóa đối với các chương trình 32-bit vì lý do tương thích.

Hộp thoại cấu hình DEP trong Windows chỉ áp dụng cho cho các ứng dụng, tiến trình 32-bit vì tài liệu của Microsoft cho biết, DEP luôn được sử dụng cho tất cả các tiến trình 64-bit.

Linux Vulnerability Scanner: Vuls

---

Vulnerability scanner for Linux, agentless, written in golang

---

    For a system administrator, having to perform security vulnerability analysis and software update on a daily basis can be a burden. To avoid downtime in production environment, it is common for system administrator to choose not to use the automatic update option provided by package manager and to perform update manually. This leads to the following problems.

• System administrator will have to constantly watch out for any new vulnerabilities in NVD(National Vulnerability Database) and etc.
• It might be impossible for the system administrator to monitor all the software if there are a large number of software installed in server.
• It is expensive to perform analysis to determine the servers affected by new vulnerabilities. The possibility of overlooking a server or two during analysis is there.

Vuls is a tool created to solve the problems listed above. It has the following characteristics.

• Informs users of the vulnerabilities that are related to the system.
• Informs users of the servers that are affected.
• Vulnerability detection is done automatically to prevent any oversight.
• Report is generated on regular basis using CRON etc. to manage vulnerability.

Main Features

• Scan for any vulnerabilities in Linux Server
  • Supports Ubuntu, Debian, CentOS, Amazon Linux, RHEL
  • Cloud, on-premise, Docker
• Scan middleware that are not included in OS package management
  • Scan middleware, programming language libraries and framework for vulnerability
  • Support software registered in CPE
• Agentless architecture
  • User is required to only setup one machine that is connected to other target servers via SSH
• Auto generation of configuration file template
  • Auto detection of servers set using CIDR, generate configuration file template
• Email and Slack notification is possible (supports Japanese language)
• Scan result is viewable on accessory software, TUI Viewer terminal.

Linux Vulnerability Scanner Architecture

---

go-cve-dictinary

• Fetch vulnerability information from NVD, JVN(Japanese), then insert into SQLite.

Vuls

• Scan vulnerabilities on the servers and create a list of the CVE ID
• For more detailed information of the detected CVE, send HTTP request to go-cve-dictinary
• Send a report by Slack, Email
• System operator can view the latest report by terminal

---

Supported OS

Distribution	Release
Ubuntu	12, 14, 16
Debian	7, 8
RHEL	4, 5, 6, 7
CentOS	5, 6, 7
Amazon Linux	All

Steganalysis Tool: StegExpose

StegExpose is a steganalysis tool specialized in detecting LSB (least significant bit) steganography in lossless images such as PNG and BMP. It has a command line interface and is designed to analyse images in bulk while providing reporting capabilities and customization which is comprehensible for non forensic experts. StegExpose rating algorithm is derived from an intelligent and thoroughly tested combination of pre-existing pixel based staganalysis methods including Sample Pairs by Dumitrescu (2003), RS Analysis by Fridrich (2001), Chi Square Attack by Westfeld (2000) and Primary Sets by Dumitrescu (2002). In addition to detecting the presence of steganography, StegExpose also features the quantitative steganalysis (determining the length of the hidden message). StegExpose is part of my MSc of a project at the School of Computing of the University of Kent, in Canterbury, UK.

Usage

java -jar StegExpose.jar [directory] [speed] [threshold] [csv file]

Where:

• [directory] – directory containing images to be diagnosed
• [speed] – Optional. Can be set to ‘default’ or ‘fast’ (set to ‘default if left blank). default mode will try and run all detectors whereas fast mode will skip the expensive detectors in case cheap detectors are able to determine if a file is clean.
• [threshold] – Optional. The default value here is 0.2 (for both speed modes) and determines the the level at which files are considered to be hiding data or not. A floating point value between 0 and 1 can be used here to update the threshold. If keeping false positives at bay is of priority, set the threshold slightly higher ~0.25. If reducing false negatives is more important, set the threshold slightly lower ~0.15
• [csv file] – Optional. Name of the csv (comma separated value) file that is to be generated. that If left blank, the program will simply output to the console

 StegExpose Steganalysis Tool

Accuracy

ROC or receiver operating characteristic curves expose the accuracy of a given signal

Performance

The accuracy and speed of StegExpose has been tested on an image pool of 15,200 lossless images, where 5,200 of them were stego images (images with hidden data) created with the tools OpenStego, OpenPuff, SilentEye and LSB-Steganography. Embedding rates range from 2.5% to 25.3% with an average of 13.8% (secret data / cover image).

Speed

A 460×460 pixel image will take 1.20 seconds to process in the default mode and 0.34 seconds in fast mode. However, the fast mode should be even faster in a real world environment, where there are a lot less stego files, allowing StegExpose to skip expensive detectors more frequently.

Source && Download

[Kỹ năng cơ bản] Tạo Fanpage Facebook

Facebook là mạng xã hội có lượng thành viên lớn nhất thế giới hiện nay, việc quảng bá trên facebook là một cách hiệu quả nhất để nhiều người người biết đến thương hiệu của mình đối với cộng đồng.

Facebook sẽ hỗ trợ gì cho việc quảng bá thương hiệu của bạn?

Biết được nhu cầu đó, facebook đã cung cấp cho bạn 1 công cụ rất hữu ích đó là việc tạo Fanpage Facebook. Với trang này, bạn có thể đưa thương hiệu của mình "giao tiếp" với những người dùng Facebook một cách dễ dàng và hiệu quả. Hơn thế nữa, nếu bạn biết cách Marketting thì chắc hẳn Fanpage sẽ là 1 công cụ đắc lực cho công việc kinh doanh của bạn.

Làm sao để tạo trang Fanpage Facebook?

Sau khi đã tạo xong một tài khoản Facebook, bạn có thể dễ dàng tạo 1 trang Facebook cho thương hiệu của mình thông qua vài bước đơn giản sau.

Bước 1: Truy cập và đăng nhập tài khoản Facebook vào địa chỉ sau: https://www.facebook.com/pages/create.php

Bước 2: Chọn Loại Fanpage mà bạn muốn tạo. Trong bài hướng dẫn này, mình chọn Hoạt động cộng đồng. Bạn điền tên của Fanpage vào chỗ trống.

Bước 3: Xác nhận 1 số thống tin qua 4 bước như trong hình

Chọn lưu thông tin để tạo fanpage facebook

Chọn bỏ qua để hoàn tất quá trình tạo Fanpage Facebook

Sau khi hoàn tất, bạn đã có 1 trang Fanpage Facebook riêng cho thương hiệu của mình.

4 bước cần làm khi tạo xong Fanpage của bạn

Trước tiên, hãy là người đầu tiên “like” trang của bạn! Sau đó:

1. Chọn một tấm hình đẹp, bắt mắt làm hình đại diện, kích thước tối đa là 200px x 600px. Hệ thống sẽ lấy một phần hình ảnh để làm avatar hiển thị (50 x 50), tuy nhiên bạn có thể tùy chọn bằng cách kéo thả.

2. Viết thông tin giới thiệu trang : Đơn giản, ngắn gọn nhưng phải đầy đủ. Nhớ cung cấp địa chỉ website của bạn (nếu có)

3. Post một thông tin cập nhật đầu tiên. VD: Lời chào, lời giới thiệu về thương hiệu của bạn

4. Chèn Box Fanpage vào Webiste của bạn. Đây là cách hiệu quả để giúp tăng like Fanpage cũng như việc phổ biến thương hiệu của bạn đến mọi người.

Chúc bạn thành công! Have a nice day!

[kỹ năng cơ bản] Tạo tài khoản Facebook

Facebook hiện nay là mạng xã hội số 1 trên thế giới cũng như ở Việt Nam. Sức ảnh hưởng của Facebook hiện rõ trong cuộc sống thường nhật với các xu hướng ăn Facebook, ngủ Facebook… Bạn đã có tài khoản Facebook chưa? Nếu chưa có tài khoản Facebook thì hãy tham khảo cách tạo tài khoản Facebook ở đây nhé.

Bước 1: bạn truy cập vào Facebook theo đường dẫn sau: https://www.facebook.com/

Giao diện trang www.facebook.com

Bước 2: Nhập các thông tin Facebook yêu cầu vào bảng đăng ký.

Lưu ý: Trước khi đăng ký các bạn phải có một tài khoản email. Nếu chưa có bạn tham khảo tạo tài khoản gmail

Đăng ký Facebook

Nhập các thông tin đầy đủ các bạn nhấn nút Đăng ký để tiếp tục.

Bước 3: Facebook sẽ đưa ra các gợi ý tìm kiếm bạn bè của bạn đang sử dụng Facebook qua email, yahoo hay skype. Nếu bạn muốn làm việc này sau thì nhấn vào nút Bỏ qua bước này để chuyển ngay qua bước 2.

Tìm kiếm bạn bè trên Facebook

Tiếp tục qua bước 2, Facebook sẽ yêu cầu bạn nhập các thông tin về bạn như quê quán, trường học … để giúp bạn tìm được bạn bè dễ dàng hơn. Nếu bạn muốn làm việc này sau thì chọn Bỏ qua để chuyển ngay qua bước 3.

Bổ sung thông tin cá nhân

Bước 3 là bước chọn ảnh làm ảnh đại diện của bạn. Bạn có thể tải ảnh lên từ máy tính hoặc chụp ảnh trực tiếp nếu máy tính của bạn có webcam. Cũng như các bước trên, nếu bạn muốn làm việc này sau thì có thể chọn Bỏ qua.

Chọn ảnh đại diện.

Vậy là quá trình đăng ký cơ bản đã hoàn tất, chỉ còn một bước nữa là xác nhận việc đăng ký tài khoản Facebook qua email bạn đã đăng ký ở trên. Nếu bạn chưa kích hoạt email thì sẽ có thông báo này.

Thông báo yêu cầu xác nhận email

Hãy đăng nhập vào email bạn đã đăng ký ở trên:

Truy cập vào email đăng ký với Facebook

Nhấn vào nút xác nhận tài khoản của bạn hoặc lấy mã xác nhận nhập vào phần nhập mã trên facebook để kích hoạt tài khoản. Và đây là kết quả:

Thông báo xác nhận tài khoản thành công.

Chúc mừng bạn, bạn đã tạo xong tài khoản Facebook rồi đó. Hãy đăng nhập vào Facebook ngay, thêm bạn và thỏa sức trò chuyện với bạn bè nhé.

Giao diện thân thiện của Facebook

Chúc các bạn thành công!!! Have a nice day!

[Kỹ năng cơ bản] Tạo Blog cá nhân bằng Blogspot

Bạn muốn làm 1 trang Blog để chia sẻ những cảm nghĩ về cuộc sống hoặc những câu chuyện đời của bạn. Hoặc bạn muốn chia sẽ những kiến thức của mình vào 1 nơi nào đó trên Internet như trang Blog tacchienmang.blogspot.com chẳng hạn. Tất cả điều đó bạn hoàn toàn có thể làm được thông qua việc sử dụng Blogger của Google.

Tại sao bạn nên chọn Blog từ Google

Như các bạn đã biết thì Google là 1 cái tên khá "tên tuổi" trên toàn thế giới hiện nay. Chính vì thế, những ứng dụng của google sẽ rất tuyệt vời và tốt nhất cho người dùng. Và có 1 điều đặc biệt ở Google đó chính là có khá nhiều ứng dụng miễn phí với chất lượng cực tốt. Và Blogger của google là 1 trong số đó.

Việc tạo Blog từ Blogger có khó không?

Rất đơn giản, bạn chỉ cần đăng kí tài khoản Gmail (xem chi tiết tạo tài khoản Gmail tại đây) và đăng nhập vào trang Blogger.com. Khi đó, bạn đã có thể bắt đầu tạo Blog cho mình từ Blogger.

Blog có thể mang lại những gì cho bạn?

Với việc sở hữu một blogspot bạn hoàn toàn có thể "làm chủ" thế giới của mình: nó có thể là nơi chia sẻ tình cảm, tâm trạng, các kiến thức có thể hữu ích với một ai đó cần, nơi gặp gỡ bạn bè, chia sẻ những câu chuyện, hoặc thậm chí bạn có thể kiếm ra tiền với một blog chuyên nghiệp. 

Cách tạo 1 trang blog đơn giản từ Blogger

Đầu tiên, bạn cần phải có 1 tài khoản Gmail. Nếu bạn chưa có, bạn có thể tham khảo bài viết sau:  [Kỹ năng cơ bản] Tạo tài khoản gmail

Sau đó, các bạn tiến hành thực hiện theo các bước sau:

Bước 1: Truy cập và đăng nhập vào Blogger bằng tài khoản Gmail bằng đường dẫn: http://www.blogger.com

Đăng nhập vào tài khoản Google để sử dụng Blogger

Giao diện của Blogger

Bước 2: Tại giao diện Blogger, bạn chọn vào Blog Mới.

Tạo blog mới

Bạn chọn tên, đường dẫn của trang Blog của bạn và mẫu Blog cơ bản. Và nhấn tạo Blog.

Lựa chọn mẫu Blog, tên và đường link của blog.

Bước 3: Sau khi quá trình tạo hoàn tất, bạn đã có thể viết bài và xem giao diện Blog của mình.

Giao diện quản trị trang blog

Bước 4: Soạn thảo bài viết mới trên blogspot

Viết bài trên blogspot.

Bước 5: xuất bản bài viết lên Blog nhấn chọn “Xuất bản” (để xem trước hiển thị bài viết bạn chọn “Xem trước”)

Xuất bản bài viết lên Blogger.

Như vậy, bạn đã biết cách tạo blogspot từ Blogger của google rồi đấy. Thật đơn giản đúng không nào.

Bạn có thể tham khảo những thủ thuật blogger tại những bài viết tiếp theo để biết cách sử dụng Blogger tại trang Blog tacchienmang.blogspot.com.

Chúc bạn thành công!!! Have a nice day!

[Kỹ năng cơ bản] Tạo tài khoản gmail

Tài khoản Google sẽ được dùng chung cho rất nhiều dịch vụ khác nhau như: Gmail, Google Driver, Youtube, Blogsport, Google plus,đăng nhập facebook... và đăng ký gmail là bắt buộc trước khi có thể sử dụng các dịch vụ cần đăng nhập này của Google, tuy nhiên không phải lúc nào gmail đăng ký cũng thành công. Tất cả các sản phẩm của Google luôn đạt chất lượng, độ tin cậy cao và miễn phí cho người dùng cuối do vậy mà bạn cũng không phải lo lắng đến chi phí.

 

Các dịch vụ của Google.

Đặc điểm của Gmail:

·         Nhiều người dùng, hoàn toàn miễn phí;

·         Dung lượng lưu trữ lớn;

·         Dễ dàng đăng ký sử dụng và dễ đồng bộ với các dịch vụ khác của google như: Youtube, Google Play, Google Driver, Blogsport,…

·         Sử dụng chung một tài khoản đăng nhập cho tất cả các dịch vụ của google;

·         Được bảo mật cao (xác thực hai lớp thông qua sms, smartkey,…);

·         Đáp ứng nhu cầu của người dùng phổ thông bằng các chứng năng phù hợp.

·         Hỗ trợ đính kèm tập tin cùng với email có dung lượng lớn (mặc định 25MB, các tệp tin dung lượng lớn hơn sẽ được đính kèm bằng dịch vụ Google Driver).

Cách tạo Email từ Gmail:

Việc thực hiện tạo tài khoản Gmail rất đơn giản, bạn có thể thực hiện theo từng bước sau:

Bước 1: Truy cập vào trang đăng ký Gmail thông qua đường link sau: https://accounts.google.com

Bước 2: Điền đầy đủ các thông tin cơ bản để đăng ký tài khoản:

Với “tên người dùng của bạn” chính là địa chỉ email của bạn (ví dụ: tacchienmang2016@gmail.com).

Mẫu đăng ký thông tin của gmail.

Sau đó chọn “Bước tiếp theo”

Thông báo đăng ký thành công tài khoản gmail.

Và đăng ký thành công tài khoản gmail :D

Bước 3: Nhấn vào “Tiếp tục đến Gmail” để sử dụng các tính năng của hòm thư điện tử Gmail!

Giao diện hòm thư Gmail.

Để sử dụng gmail bạn truy cập vào địa chỉ www.gmail.com , nhập tên tài khoản và mật khẩu đã đăng ký để sử dụng.

Đăng nhập vào gmail

Như vậy các bạn đã biết cách tạo tài khoản Gmail rồi đó.
Phần tiếp theo: Tạo blog cá nhân bằng blogsport

Chúc các bạn thành công! Have a nice day!