Tags:
Node Thumbnail

APNIC ประกาศเปลี่ยนกระบวนการเก็บรหัสผ่านจากเดิมใช้ค่าแฮชของ MD5 หรือ crypt มาเป็น bcrypt โดยผู้ใช้ที่เปลี่ยนรหัสผ่านหลังจากนี้จะได้รับค่า auth ตัวใหม่ พร้อมกับประกาศว่าทาง APNIC จะบังคับให้รหัสผ่านทั้งหมดเป็น bcrypt ในอนาคต ผู้ดูแลระบบควรเปลี่ยนรหัสแต่เนิ่นๆ

Tags:
Node Thumbnail

ช่วงสัปดาห์ที่ผ่านมา มีรายงานถึงงานวิจัยด้านคณิตศาสตร์ที่ตีพิมพ์ออกมาในปีนี้ ระบุถึงรูปแบบของตัวเลขจำนวนเฉพาะ ว่าสามารถมองเป็นเหมือนการหักเหของแสงเมื่อผ่านผลึกคริสตัล และบางเว็บคาดเดาถึงผลกระทบว่าอาจจะทำให้กระบวนการเข้ารหัส ซึ่งใช้จำนวนเฉพาะอย่างหนัก ว่าอาจจะอ่อนแอลงได้ เช่น Science Alert ระบุ (อย่างผิดๆ) ว่ากระบวนการเข้ารหัส RSA อาศัยความสุ่มของตัวเลขจำนวนเฉพาะ

Tags:
Node Thumbnail

OpenSSL ไลบรารีเข้ารหัสยอดนิยมออกรุ่น 1.1.1 เป็นรุ่น LTS ซัพพอร์ตระยะยาว 5 ปี โดยมีฟีเจอร์สำคัญคือการรองรับ TLS 1.3

ภายในมีความเปลี่ยนแปลงตัวสร้างเลขสุ่ม โดยตัวเริ่มต้นจะเป็น AES-CTR DRBG ตามมาตรฐาน NIST SP 800-90Ar1 (รุ่นถอดการเข้ารหัส Dual_EC_DRBG ของ NSA ไปแล้ว) สำหรับกระบวนการเข้ารหัส รองรับกระบวนการใหม่ๆ หลายตัว เช่นแฮช SHA3, ลายเซ็นดิจิตอล Ed25519 และ Ed448, SipHash

ในส่วนของ TLS 1.3 ในโค้ดรองรับ ciphersuite 5 แบบ แต่เปิดเป็นค่าเริ่มต้น 3 แบบ ได้แก่ TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256

Tags:
Node Thumbnail

มาตรฐาน TLS 1.3 แก้ไขมานานและผ่านโหวตไปตั้งแต่เดือนมีนาคมที่ผ่านมา ตอนนี้ก็ได้เลข RFC เป็นทางการคือ RFC8446 นับเป็นเวลาสิบปีพอดีหลังจาก TLS 1.2 หรือ RFC5246

แม้ว่าตัวมาตรฐานจะเพิ่งออกเป็นทางการ แต่ในความปฎิบัติไลบรารีจำนวนมากรองรับฟีเจอร์ต่างๆ ของ TLS 1.3 อยู่ก่อนแล้ว เช่น Chrome นั้นรองรับมาตั้งแต่ Chrome 56 และเปิดใช้งานเป็นค่าเริ่มต้นมาตั้งแต่ Chrome 63

Tags:
Node Thumbnail

ลินุกซ์กำลังออกเคอร์เนลเวอร์ชั่น 4.18 เร็วๆ นี้ ฟีเจอร์หนึ่งที่น่าสนใจคือ กระบวนการเข้ารหัสแบบ Speck จาก NSA ที่จะเป็นตัวเลือกสำหรับระบบไฟล์เข้ารหัส

กระบวนการเข้ารหัส Simon & Speck เป็นโครงการโอเพนซอร์สที่ NSA พยายามผลักดันมานาน โดยมันเป็นกระบวนการเข้ารหัสสำหรับอุปกรณ์ขนาดเล็กมาก เช่น โหนดเซ็นเซอร์ IoT ทั้งหลาย กูเกิลส่งแพตช์เข้าไปยังลินุกซ์ตั้งแต่ต้นปีที่ผ่านมา โดยยอมรับว่ากระบวนการเข้ารหัส Speck นั้นถูกวิจารณ์อย่างกว้างขวาง โดยเฉพาะเมื่อมันถูกปฎิเสธไม่ให้เข้าเป็นมาตรฐาน ISO อย่างไรก็ตาม ในอุปกรณ์ขนาดเล็กราคาถูก เช่นโทรศัพท์มือถือที่ใช้ชิป ARMv7 กระบวนการเข้ารหัสอื่นๆ กลับทำความเร็วไม่ดีพอ หรือไม่ก็ความปลอดภัยต่ำเกินไป

Tags:
Node Thumbnail

ผู้พัฒนาแอปจำนวนมากมักใช้บริการ push ข้อความจากบริการคลาวด์ต่างๆ เช่น Firebase Cloud Messaging (FCM) ปัญหาอย่างหนึ่งคือหากข้อความเป็นความลับมากๆ นักพัฒนาจะต้องเชื่อใจบริการ push เหล่านั้นไปด้วย ตอนนี้กูเกิลก็ออกไลบรารีเข้ารหัสจากปลายทางถึงปลายทาง ทำให้สามารถใช้ FCM ได้โดยไม่ต้องเปิดเผยข้อความให้เซิร์ฟเวอร์ของกูเกิลอีก โดยใช้ชื่อโครงการ Capillary

ตัวไลบรารี Capillary ให้บริการหลายอย่าง เช่น เป็นไลบรารีเข้ารหัสที่ทำงานได้ตั้งแต่ Android Kitkat ขึ้นมา, รองรับกระบวนการสร้างกุญแจและลงทะเบียนกุญแจ, เข้ารหัสข้อความจากเซิร์ฟเวอร์และถอดรหัสบนไคลเอนต์ (โทรศัพท์), ป้องกันการแก้ไขข้อมูล, และป้องกันการอ่านข้อความหากอุปกรณ์ล็อกหน้าจออยู่

Tags:
Node Thumbnail

ISO องค์กรมาตรฐานอุตสาหกรรมตัดสินไม่รับข้อเสนอมาตรฐาน ISO 29192-2/AMD1 (Simon & Speck) ที่เสนอโดย NSA หลังจากทาง NSA พยายามผลักดันมาตรฐานนี้มาตั้งแต่ปี 2013

Simon & Speck เป็นกระบวนการเข้ารหัสแบบบล็อคสำหรับอุปกรณ์ขนาดเล็ก กินพลังงานต่ำ และพลังประมวลผลต่ำ

Tomer Ashur ตัวแทนจากเบลเยี่ยมออกมาแสดงความเห็นถึงการปฏิเสธครั้งนี้ ว่า NSA มีส่วนอย่างมาก เพราะพฤติกรรมตัวแทนจาก NSA ที่ดูถูกผู้เชี่ยวชาญคนอื่นว่าไม่มีความเชี่ยวชาญเพียงพอ หลังจากถูกตั้งคำถามว่าเลือกค่าคงที่ต่างๆ เข้ามาอย่างไร

Tags:
Node Thumbnail

ความนิยมในธุรกิจขุดเหมืองคริปโตเพื่อทำกำไร จำเป็นต้องใช้พลังงานจำนวนมากเพื่อประมวลผล และในประเทศไอซ์แลนด์ที่มีประชากรแค่ 340,000 คน สัดส่วนการใช้พลังงานจากธุรกิจขุดเหมืองกำลังจะแซงการใช้พลังงานจากภาคครัวเรือนแล้ว

ไอซ์แลนด์กลายเป็นสวรรค์ของนักขุดเหมือง ด้วยปัจจัยเรื่องสภาพอากาศเย็น ลดภาระการระบายความร้อนของคอมพิวเตอร์ และราคาพลังงานที่ถูกกว่าประเทศอื่นๆ อันเนื่องมาจากมีพลังงานความร้อนใต้ดินและไฟฟ้าพลังน้ำอยู่มาก ทำให้นักขุดเหมืองนิยมย้ายมาตั้ง "ฟาร์ม" อยู่ในหมู่บ้านชาวประมงเล็กๆ กันมากขึ้น

Tags:
Node Thumbnail

ไลนัสประกาศเคอร์เนลลินุกซ์ 4.13 รุ่นตัวจริงหลังจากออก release candidate มาแล้ว 7 รุ่น โดยความเปลี่ยนแปลงสำคัญ คือการเปลี่ยนค่าเริ่มต้นของระบบไฟล์ CIFS ให้รองรับเฉพาะ SMB 3.0 โดยยังรองรับรุ่นเก่ากว่าทั้งหมด แต่ผู้ใช้ต้องระบุในคอนฟิกด้วยตัวเอง

CIFS เดิมรองรับ SMB 1.0 เป็นค่าเริ่มต้น แต่ในเคอร์เนล 4.13 จะต้องระบุเวอร์ชั่น "vers=2.1" สำหรับการรองรับ SMB 2.1 และ "vers=1.0" เพื่อรองรับ SMB 1.0 โดยตัวไลนัสเองก็ย้ำว่าไม่ควรใช้ SMB 1.0 อีกแล้ว และสำหรับคนที่ไม่ได้อัพเกรดเคอร์เนลมาใช้รุ่นล่าสุดก็ควรปรับออปชั่นเพื่อเลิกใช้ SMB 1.0 อยู่ดี

Tags:
Node Thumbnail

ศาสตราจารย์ด้านวิทยาการเข้ารหัสลับ (cryptography) เดินตลาดนัดในโรมาเนียและพบแผงขาย "เครื่องพิมพ์ดีด" เก่า จึงซื้อมาในราคา 100 ยูโร หรือประมาณ 3,900 บาท โดยรู้ว่าเครื่องพิมพ์ดีดนี้ที่แท้จริงคือเครื่องเข้ารหัส Enigma จากกองทัพเยอรมันในสงครามโลกครั้งที่สอง และยังอยู่ในสภาพใช้งานได้

เครื่อง Enigma ถูกนำออกประมูลโดยห้องประมูลของสะสม Artmark ที่ราคาเริ่มต้น 9,000 ยูโร การประมูลจบลงที่ราคา 45,000 ยูโร โดยห้องประมูลไม่ได้ระบุชื่อศาสตราจารย์ผู้ขายแต่อย่างใด

โรมาเนียเป็นพันธมิตรกับนาซีเยอรมันจนถึงช่วงท้ายสงครามโลกครั้งที่สอง ทำให้เป็นไปได้ว่าจะมีเครื่อง Enigma หลงเหลืออยู่อีก

Tags:
Node Thumbnail

หลัง WannaCry (WannaCrypt) ระบาดเป็นวงกว้าง นักวิจัยก็พากันหาวิธีว่าจะสามารถถอดรหัสไฟล์โดยไม่ต้องจ่ายเงินกันได้บ้างหรือไม่ ตอนนี้ก็มีแนวทางออกมาแล้ว แม้จะใช้ได้เฉพาะ Windows XP และต้องอาศัยโชคช่วยประมาณหนึ่ง

Tags:
Node Thumbnail

ใบรับรองดิจิตอลที่เซ็นรับรองด้วย SHA-1 ถูกเตือนว่าไม่ปลอดภัยมาตั้งแต่ปี 2014 ตามกำหนดการ เงื่อนไขการซัพพอร์ตใบรับรอง SHA-1 จะลดลงเรื่อยๆ จนกระทั่งโครม และไฟร์ฟอกซ์เริ่มหยุดซัพพอร์ตทุกกรณีต้นปีที่ผ่านมา และฝั่งแอปเปิลก็หยุดซัพพอร์ตในเดือนมีนาคม เดือนนี้แพตช์ของไมโครซอฟท์ก็ปิดการซัพพอร์ตใบรับรอง SHA-1 ใน Internet Explorer 11 และ Edge ทั้งหมดแล้ว นับเป็นผู้ผลิตเบราว์เซอร์หลักรายสุดท้ายที่ปิดการซัพพอร์ต

SHA-1 ถูกทีมวิจัยของกูเกิลเจาะได้สำเร็จโดยสร้างไฟล์สองไฟล์ที่มีค่าแฮชตรงกันเมื่อเดือนกุมภาพันธ์ที่ผ่านมา

Tags:
Node Thumbnail

NIST เปิดตัวมาตรการการเข้ารหัสแบบรักษาฟอร์แมตข้อมูล (Format-Preserving Encryption - FPE) มาตั้งแต่ปีที่แล้ว ตอนนี้ทาง HPE ประกาศว่าโซลูชั่น SecureData ของบริษัทเป็นโซลูชั่นแรกที่ได้รับการรับรอง (validated) ตามมาตรฐานนี้

HPE SecureData with Hyper FPE ใช้กระบวนวิธีเข้ารหัสแบบ AES-FF1 เป็นหนึ่งในสามกระบวนวิธีที่มาตรฐานของ NIST รับรองให้ใช้งาน

ทาง HPE ระบุว่าบริษัทได้รับการรับรองจาก NIST ตั้งแต่วันที่ 13 เมษายนที่ผ่านมา ผมเองตรวจสอบรายชื่อในเว็บของ NIST ยังไม่พบ แต่หากไม่มีอะไรผิดพลาดก็น่าจะมีรายการสินค้าที่ได้รับการรับรองเร็วๆ นี้

Tags:
Node Thumbnail

รายงาน SHAttered ที่สามารถสร้างไฟล์สองไฟล์ที่ค่าแฮชตรงกันได้สำเร็จทำให้โครงการต่างๆ ที่อาศัย SHA-1 เป็นแกนกลางต้องพิจารณาความปลอดภัยกันใหม่ โครงการหลักๆ สองโครงการคือ Git และ GPG ก็ออกมาชี้แจงแล้ว

ไลนัสออกมาตอบข้อสงสัยใน Git ที่ใช้ SHA-1 เป็นแกนกลาง โดยระบุ Git ระบุว่าแต่ละฟิลด์ของ Git ต้องระบุถึงชนิดข้อมูลและขนาดข้อมูลไปพร้อมกัน ทำให้การแก้ไขข้อมูลโดยที่ข้อมูลเหล่านี้ยังถูกต้องอยู่ทำได้ยาก อย่างไรก็ดีมีออปเจกต์บางส่วนที่สามารถแก้ไขมูลตรงกลางได้ ก็นับว่ามีความเสี่ยง แต่โดยรวมแล้วมุมมองคือปัญหาอาจจะไม่ได้ร้ายแรงขนาดนั้น แนวทางหลังจากนี้อาจจะมีการตรวจสอบข้อมูลเพิ่มเติมเพื่อป้องกันการสร้าง Git โดยใส่ข้อมูลประหลาดเข้าไป

Tags:
Node Thumbnail

ค่าแฮช SHA-1 มีรายงานว่ามีช่องโหว่จนอ่อนแอกว่าที่ออกแบบไว้อย่างมาก มานานหลายปี โดยกูเกิลประกาศให้ใบรับรองที่รับรองโดย SHA-1 ไม่ปลอดภัยมาตั้งแต่ปี 2014 แต่จนกระทั่งวันนี้ก็ยังไม่มีใครปลอมไฟล์ที่มีค่าแฮช SHA-1 ตรงกันได้จริงๆ ล่าสุดทีมวิจัยร่วมระหว่างมหาวิทยาลัยอัมสเตอร์ดัม และ Google Research ก็สามารถสร้างไฟล์ PDF สองไฟล์ที่ค่าแฮชตรงกันได้สำเร็จ โดยใช้ชื่อกระบวนการปลอมไฟล์นี้ว่า SHAttered

Tags:
Node Thumbnail

นิตยสาร WIRED เผยแพร่รายงานขบวนการโกงบ่อนคาสิโนด้วยการเล่นสล็อตแมตชีนจนกระทั่งสามารถเอาชนะเครื่องได้ และทำกำไรมหาศาลภายในเวลาไม่กี่วัน มาตั้งแต่ปี 2011

โดยปกติแล้วสล็อตแมตชีนจะสามารถตั้งค่าให้จ่ายรางวัลต่ำกว่าเงินที่ผู้เล่นหยอดเข้ามาเป็นสัดส่วนค่าหนึ่ง (ขึ้นกับทำเลของที่ตั้งคาสิโน คาสิโนท้องถิ่นจะตั้งเข้าใกล้ 1.0 มากขึ้นเรื่อยๆ) แต่คาสิโนจำนวนหนึ่งกลับพบว่าเครื่องที่ผลิตโดยบริษัท Novomatic กลับจ่ายเงินรางวัลมากกว่าเงินที่ได้รับเข้ามาโดยที่วิศวกรของบริษัทไม่พบร่องรอยการดัดแปลงแก้ไขเครื่อง

Tags:
Node Thumbnail

OpenSSH เซิร์ฟเวอร์สำหรับการเข้าจัดการเครื่องจากระยะไกลที่ได้รับความนิยมสูง ปรับปรุงโปรโตคอลเป็น SSHv2 มานานและคอนฟิกเริ่มต้นก็มักจะรองรับ SSHv2 อย่างเดียว แต่ตัวซอฟต์แวร์ก็ยังรองรับ SSHv1 เรื่อยมา แม้ว่าจะลินุกซ์หลายรายจะปิดฟีเจอร์นี้ตั้งแต่การคอมไพล์ก็ตาม

ตอนนี้ OpenSSH ออกเวอร์ชั่น 7.4 พร้อมกับประกาศยกเลิกการซัพพอร์ต SSHv1 ออกทั้งหมดภายในเดือนสิงหาคม 2017 ทำให้หลังจากกำหนดนี้ จะไม่มีตัวเลือกใดๆ ให้ใช้งาน SSHv1 อีก

ช่องโหว่ของ SSHv1 CRC32 เป็นช่องโหว่ที่ Trinity ใช้เจาะเข้าเครือข่ายของโรงงานไฟฟ้าในภาพยนตร์เรื่อง The Matrix

พร้อมๆ กับ SSHv1 ทาง OpenSSH ยังประกาศเลิกรองรับกระบวนการเข้ารหัส Blowfish, RC4, RIPE-MD160, และไม่รับ RSA ที่เล็กกว่า 1024 บิต

Tags:
Node Thumbnail

คนที่เคยอ่านชีวประวัติของ Alan Turing (หรือจากในภาพยนตร์ The Imitation Game) คงพอทราบว่าในสมัยสงครามโลกครั้งที่สอง รัฐบาลอังกฤษตั้งหน่วยถอดรหัสข้อความของศัตรู ใช้ชื่อว่า Government Code and Cypher School (GC&CS) ที่ Bletchley Park ในเมือง Milton Keynes ทางตอนเหนือของกรุงลอนดอน สถานที่แห่งนี้มีตำนานใช้ถอดรหัส Enigma ของฝ่ายอักษะได้สำเร็จ

ล่าสุด รัฐบาลอังกฤษเตรียมนำอาคารประวัติศาสตร์หลังนี้ มาตั้งเป็นโรงเรียนสอนวิชา cybersecurity ให้กับวัยรุ่นอายุ 16-19 ปี เพื่อสร้างทรัพยากรมนุษย์ในด้านความปลอดภัยไซเบอร์ยุคหน้า

Tags:
Node Thumbnail

กระบวนการเข้ารหัสเก่าๆ ที่เคยมีความแข็งแกร่งเมื่อนานไปความแข็งแกร่งก็ไม่เพียงพอที่จะป้องกันข้อมูลได้อีกต่อไป ล่าสุดนักวิจัยจากสถาบันวิจัย INRIA ฝรั่งเศส ได้นำเสนอรายงาน SWEET32 สาธิตการเจาะข้อมูลเข้ารหัส เมื่อข้อมูลถูกส่งซ้ำๆ ผ่านการเข้ารหัสแบบ block cipher ขนาด 64 บิต

เนื่องจากบล็อคขนาด 64 บิตมีขนาดไม่ใหญ่เกินไปนัก โอกาสที่เข้ารหัสแล้วจะเจอบล็อคที่มีข้อมูลซ้ำกันจะอยู่ที่ประมาณ 2^32.3 (จำนวนบล็อคน้อยกว่าความเป็นไปได้ทั้งหมด 2^64 มากตามหลัก birthday attack) บล็อค เมื่อเจอบล็อคที่ซ้ำกันแล้ว หากมีบล็อคหนึ่งเป็นบล็อคที่รู้ข้อความภายในอยู่แล้ว ก็จะสามารถดูข้อความที่ไม่รู้ได้ทันที

Tags:
Node Thumbnail

เทคโนโลยีคอมพิวเตอร์ควอนตัมมีพัฒนาการอย่างต่อเนื่องในช่วงไม่กี่ปีที่ผ่านมา แม้ว่าจะยังไม่มีแนวโน้มว่าคอมพิวเตอร์เหล่านี้จะสามารถเจาะกระบวนการเข้ารหัสลับที่ใช้กันทุกวันนี้ได้ภายในเร็ววันก็ตาม แต่ NIST ก็เริ่มกระบวนการกำหนดมาตรฐานการเข้ารหัสลับหลังเข้าสู่ยุคคอมพิวเตอร์ควอนตัมแล้ว

NIST ระบุว่าการคาดการณ์ว่าคอมพิวเตอร์ควอนตัมระดับที่ใช้เจาะการเข้ารหัสลับที่เราใช้งานกันทุกวันนี้ น่าจะใช้เวลาประมาณ 20 ปี อย่างไรก็ดี กระบวนการเข้ารหัสที่เราใช้กันทุกวันนี้ก็ใช้เวลาในการพัฒนาโครงสร้างกันประมาณ 20 ปีเช่นกัน ทำให้กระบวนการวางมาตรฐานควรเริ่มโดยเร็ว

Tags:
Node Thumbnail

เมื่อวันที่ 9 กรกฎาคม ประธานาธิบดีรัสเซียประกาศสั่ง FSB ให้สร้างโค้ดที่จะถอดรหัสข้อมูลได้ทั้งหมด ตอนนี้ทางฝั่ง FSB ก็ออกมาระบุว่าแนวทางการถอดรหัสข้อมูลตามคำสั่งของประธานาธิบดีแล้ว

FSB ประกาศคำสั่งหมายเลข 432 ประกาศระเบียบการการส่งมอบข้อมูลให้กับ FSB แม้จะมีการเข้ารหัสไว้ก็ตาม โดยผู้ให้บริการต้องสามารถถอดรหัสข้อความที่ รับ, ส่ง, ส่งต่อ, หรือประมวลผล ให้กับทาง FSB ได้เมื่อถูกร้องขอ โดยก่อนหน้านี้ประธานาธิบดีรัสเซียสั่งให้ FSB สร้างโค้ดเพื่อให้ผู้ให้บริการนำไปใช้ กระบวนการนี้จึงเป็นไปได้ว่าจะมีการสั่งให้ผู้ให้บริการต้องติดตั้งซอฟต์แวร์ดักฟังไว้ในเครื่องของตัวเอง อย่างไรก็ตามตัวประกาศไม่ได้ลงรายละเอียดขั้นตอนการปฏิบัติตามเอาไว้

Tags:
Node Thumbnail

กูเกิลเปิดให้ทดสอบกระบวนการแลกเปลี่ยนกุญแจในการเข้ารหัส (key exchange algorithm) ที่มีชื่อว่า “New Hope” แล้ว ผ่านทาง Google Chrome Canary

Tags:
Node Thumbnail

John Wetter อาสาสมัครของ The National Museum of Computing at Bletchley Park พิพิธภัณฑ์ที่รวบรวมอุปกรณ์เข้ารหัสสมัยสงครามโลกเอาไว้จำนวนมาก ระบุว่าเพื่อนของเขาเจอโพสต์บน eBay ขายเครื่องโทรเลขในราคา 9.5 ปอนด์

เขาและเพื่อนคิดว่าที่จริงแล้วมันคือเครื่องพิมพ์ข้อความ (teleprinter) สำหรับเครื่องเข้ารหัส Lorenz SZ42 เขาจึงขับรถไปยังบ้านหญิงที่โพสต์ประกาศเพื่อขอซื้อโดยตรงใน Essex หญิงเจ้าของเครื่องยืนยันว่าราคาขายอยู่ที่ 9.5 ปอนด์ Wetter จึงจ่ายไป 10 ปอนด์โดยระบุว่า "ไม่ต้องทอน"

Tags:
Node Thumbnail

กระบวนการเข้ารหัสแบบบล็อคที่ได้รับความนิยมขึ้นมาในช่วงหลังคือ AES-GCM (RFC5084) แต่การเข้ารหัสเช่นนี้ต้องสร้างค่า nonce ขนาด 8 บิตขึ้นไปจนถึง 2^64 บิต (แนะนำที่ 96 บิต) แต่ทั้งนี้ไม่ควรใช้ค่านี้ซ้ำในการเชื่อมต่อ ทีมวิจัยพบว่ายังมีเซิร์ฟเวอร์ 184 เครื่องที่ตั้งค่า nonce เป็นค่าคงที่ รวมถึงเว็บไซต์บัตรเครดิตอย่าง visa.dk

การใช้ nonce เป็นค่าคงที่ทำให้แฮกเกอร์สามารถแทรกข้อมูลเข้าไปในการเชื่อมต่อได้โดยง่าย ในวิดีโอตัวอย่างทีมวิจัยสาธิตการแทรกจาวาสคริปต์เข้าไปในเว็บไซต์ visa.dk ซึ่งเป็นหนึ่งใน 184 เว็บไซต์ที่ทีมวิจัยพบ

Tags:
Node Thumbnail

ข่าวใหญ่วันนี้คือ Craig Steven Wright ออกมายอมรับแล้วว่าเป็นผู้สร้าง Bitcoin หลังข่าวนี้ประกาศออกมา ก็มีทั้งคนที่เชื่อและไม่เชื่อในเรื่องนี้

การเปิดเผยตัวตนของ Craig Wright ในครั้งนี้เกิดขึ้นช่วงปลายเดือนมีนาคม 2016 ที่กรุงลอนดอน (Wright เป็นชาวออสเตรเลีย แต่ย้ายไปอยู่ลอนดอนหลังนิตยสาร Wired ชี้เป้าว่าเขาคือ Satoshi Nakamoto เมื่อปลายปีที่แล้ว) โดยมีสื่ออังกฤษ 3 รายร่วมสัมภาษณ์คือ BBC, The Economist และ GQ นอกจากนี้ยังมีคนในวงการ Bitcoin อีกสองคนคือ Jon Matonis อดีตผู้อำนวยการมูลนิธิ Bitcoin Foundation และ Gavin Andresen อดีตนักพัฒนาหลักของโครงการ Bitcoin ที่รับช่วงต่อจาก Nakamoto (ปัจจุบัน Gavin ไม่ได้รับบทนักพัฒนาหลักแล้ว) ซึ่งทั้งสองคนเคยทำงานร่วมกับ Satoshi ทางอีเมลมาก่อน

หลังการพบปะครั้งที่ผ่านมา ทั้ง Jon Matonis และ Gavin Andresen ลงความเห็นว่า Wright คือ Nakamoto จริงๆ

Pages