By: lew 
on 8 April 2019 - 20:57
Tags:
Topics:
ช่องโหว่ Heartbleed ครบรอบ 5 ปีที่มีการรายงานต่อสาธารณะในวันนี้ Colm MacCárthaigh วิศวกรด้านเน็ตเวิร์คและความมั่นคงปลอดภัยไซเบอร์ของ AWS ก็ออกมาทวีตถึงประสบการณ์ในวันนั้น
Heartbleed เป็นช่องโหว่ที่แฮกเกอร์สามารถอ่านหน่วยความจำในเซิร์ฟเวอร์ได้ ความพิเศษของมันคือการโจมตีทำได้ง่ายอย่างยิ่ง ทำให้คาดได้ว่าหลังจากช่องโหว่เปิดเผยต่อสาธารณะแล้ว จะมีการโจมตีภายในเวลาอันสั้น เทียบกับช่องโหว่อื่นที่แม้จะร้ายแรง เช่น สามารถรันโค้ดบนเครื่องเหยื่อได้ แต่การโจมตีมักมีความซับซ้อน ทำให้เกิดการโจมตีจริงหลังรายงานออกมาแล้วระยะหนึ่ง
By: lew on 10 March 2015 - 19:26
Tags:
Topics:
หลังบั๊ก Heartbleed ที่ส่งผลกระทบเป็นวงกว้างต่อเซิร์ฟเวอร์จำนวนมากในเดือนเมษายนปีที่แล้ว บริษัทจำนวนมากระดมทุนเพื่อให้ OpenSSL มีทรัพยากรเพียงพอต่อการพัฒนา อีกส่วนหนึ่งก็จัดสรรมาให้โครงการ Open Crypto Audit เพื่อตรวจสอบโค้ดซอฟต์แวร์เข้ารหัส ตอนนี้ทาง OpenSSL และ Cryptography Services (CS) ผู้เข้าตรวจสอบก็พร้อมจะเริ่มกระบวนการตรวจสอบแล้ว
- Read more about โครงการตรวจสอบโค้ด OpenSSL เริ่มงานแล้ว
- 3 comments
- Log in or register to post comments
By: mk on 21 August 2014 - 23:31
Tags:
มีรายงานว่า Community Health Systems (CHS) บริษัทด้านสาธารณสุขรายใหญ่ของอเมริกาโดนเจาะระบบ และมีข้อมูลผู้ป่วยราว 4.5 ล้านคนถูกขโมย และปัญหาทั้งหมดเกิดจากช่องโหว่ Heartbleed ของซอฟต์แวร์ OpenSSL ที่โด่งดังนั่นเองครับ
บริษัทความปลอดภัย TrustedSec ได้ข้อมูลวงในมาจาก CHS ว่าผู้โจมตีใช้ช่องโหว่ Heartbleed เจาะรหัสผ่านของผู้ใช้ในระบบมาได้ และล็อกอินเข้าไปยังระบบของ CHS ผ่านช่องทาง VPN ของบริษัท จากนั้นก็เข้าไปเจาะระบบภายในต่อจนได้ข้อมูลไปในที่สุด
ระบบที่ CHS ใช้งานเป็นของบริษัทเครือข่าย Juniper ซึ่งออกแพตช์แก้ปัญหา Heartbleed แต่ระยะเวลาระหว่างข่าวช่องโหว่ถูกเผยแพร่ไปจนถึงการติดตั้งแพตช์ กลับกลายเป็นช่องว่างให้แฮ็กเกอร์เจาะเข้ามาได้
By: lew on 24 June 2014 - 01:33
Tags:
Topics:
เมื่อเดือนเมษายนที่ผ่านมามีการเปิดเผยบั๊ก Heartbleed ที่นับว่าร้ายแรงที่สุดเท่าที่เคยมีมา เพราะบั๊กนี้ทำให้แฮกเกอร์สามารถเจาะเอากุญแจลับออกไปจากหน่วยความจำของเซิร์ฟเวอร์ได้โดยตรง ทำให้มีความเสี่ยงทั้งการเชื่อมต่อในอนาคต และการเชื่อมต่อในอดีตหากมีคนดักฟังเก็บข้อมูลเอาไว้และไม่ได้เชื่อมต่อแบบรับประกันความเป็นความลับในอนาคต
By: lew on 9 May 2014 - 20:51
Tags:
Topics:
OpenSSH เริ่มคอมไพล์โดยไม่มี OpenSSL ได้แล้วในรุ่นล่าสุดที่เพิ่งส่งโค้ดเข้าโครงการเมื่อวันที่ 29 เมษายนที่ผ่านมา อย่างไรก็ดีเพื่อคอมไพล์โดยไม่ใช้ OpenSSL จะทำให้กระบวนการเข้ารหัสลดลงเหลือเพียงไม่กี่รูปแบบเท่านั้น
กระบวนการเข้ารหัสที่รองรับหากไม่คอมไพล์กับ OpenSSL ได้แก่ AES-CTR, ChaCha + Poly1305 และกระบวนการแลกกุญแจจะเหลือเพียง ECDH/Curve25519 เท่านั้น
- Read more about OpenSSH สามารถทำงานโดยไม่มี OpenSSL แล้ว
- 3 comments
- Log in or register to post comments
By: mk on 24 April 2014 - 22:18
Tags:
ปัญหา Heartbleed ส่งผลสะเทือนอย่างรุนแรงไปทั่วโลกไอที แต่สุดท้ายแล้ว เว็บไซต์และหน่วยงานจำนวนมากก็ไม่มีทางเลือกอื่นนอกจาก OpenSSL อยู่ดี
ปัญหาอย่างหนึ่งของ OpenSSL คือมีงบประมาณและทรัพยากรน้อยมาก ปัจจุบันมูลนิธิ OpenSSL Software Foundation ได้รับเงินบริจาคเพียงปีละ 2,000 ดอลลาร์ และมีพนักงานทำงานเต็มเวลาเพียงคนเดียว
By: lew on 24 April 2014 - 22:08
Tags:
Topics:
ปัญหา Heartbleed ที่ส่งผลกระทบและสร้างความเสียหายมหาศาล มีเหตุผลหนึ่งที่ปัญหานี้อยู่มานานคือโครงการต้นน้ำอย่าง OpenSSL นั้นมีทุนดำเนินการไม่มากนัก นักพัฒนาส่วนมากเป็นนักพัฒนาอาสาสมัคร ตอนนี้บริษัทไอทีขนาดใหญ่ที่ใช้งานซอฟต์แวร์โอเพนซอร์สตระหนักกันแล้วว่าการปล่อยให้โครงการต้นน้ำมีปัญหาทางการเงินนั้นส่งผลเสียได้อย่างไร ก็ได้เวลาตั้งกองทุนที่ชื่อว่า Core Infrastructure Initiative
By: nutmos 
on 23 April 2014 - 10:03
Tags:
แอปเปิลได้ออกอัพเดตเฟิร์มแวร์เวอร์ชัน 7.7.3 สำหรับ AirPort Extreme และ Time Capsule รุ่นปี 2013 ที่รองรับ Wi-Fi 802.11ac เพื่ออุดช่องโหว่ Heartbleed ใน OpenSSL ที่ตอนนี้กลายเป็นวาระแห่งโลกไปเสียแล้ว
สำหรับใครที่ใช้ AirPort รุ่นดังกล่าวควรอัพเดตโดยด่วน สามารถอ่านข้อมูลเกี่ยวกับเฟิร์มแวร์เต็มๆ ได้ที่ Apple Support และอัพเดตได้ผ่าน AirPort Utility ทั้งบน Mac และ iOS ส่วนอุปกรณ์ AirPort อื่นๆ นั้น แอปเปิลบอกว่าไม่ได้รับผลกระทบ
By: lew on 22 April 2014 - 23:41
Tags:
Topics:
ปัญหา Heartbleed สร้างความไม่พอใจให้กับ Theo de Raadt อย่างมากตั้งแต่วันแรกๆ เขาระบุว่าปัญหา Heartbleed จะไม่รุนแรงเท่านี้หากทีมงาน OpenSSL ออปติไมซ์ประสิทธิภาพอย่างรับผิดชอบ ไม่ข้ามกระบวนการรักษาความปลอดภัยของระบบปฎิบัติการไปจัดการเอง ช่วงไม่กี่วันมานี้ OpenBSD ก็เริ่มเข้าล้างบางโค้ด OpenSSL เวอร์ชั่นของตัวเองอย่างหนัก โดยลบโค้ดสำหรับแพลตฟอร์มอื่นออกไป และปรับแก้สไตล์โค้ดจำนวนมาก ตอนนี้โครงการนี้ได้ชื่อว่า LibreSSL
- Read more about OpenBSD ประกาศแตกโครงการ OpenSSL เป็น LibreSSL
- 9 comments
- Log in or register to post comments
By: lew on 20 April 2014 - 22:22
Tags:
Topics:
Mandiant บริษัทในเครือ FireEye รายงานว่ามีแฮกเกอร์ขโมย session ของเซิร์ฟเวอร์ VPN ด้วยบั๊ก Heartbleed สำเร็จ กระบวนการขโมย session นี้ทำให้แฮกเกอร์สามารถข้ามกระบวนการยืนยันตัวตนทุกรูปแบบ รวมไปถึงการยืนยันตัวตนด้วยปัจจัยที่สอง (2-factor authentication) ไปได้
รายงานบั๊ก Heartbleed ก่อนหน้านี้มักเป็นการขโมยกุญแจลับของเซิร์ฟเวอร์ ซึ่งหากขโมยสำเร็จก็มีโอกาสที่แฮกเกอร์จะถอดรหัสข้อมูลหรือขโมยรหัสผ่านของผู้ใช้ แต่การขโมย session เช่นนี้ทำให้แฮกเกอร์สามารถสวมรอยเข้าเป็นผู้ใช้ที่ล็อกอิน VPN สำเร็จแล้ว
- Read more about แฮกเกอร์เจาะ VPN ด้วย Heartbleed สำเร็จ
- 18 comments
- Log in or register to post comments
By: LazarusSP1 
on 17 April 2014 - 19:24
Tags:
Topics:
ท่ามกลางกระแสการตื่นตัวของช่องโหว่ความปลอดภัย Heartbleed ที่เพิ่งเปิดตัวมาได้ไม่นาน และได้มีบทความอธิบายการทำงานของ Heartbleed มากมาย (ชื่อจำเพาะของช่องโหว่ Heartbleed คือ CVE2014_0160) ก็ได้มีวัยรุ่นชาวแคนาดาที่เพิ่งอายุได้ 19 ปี ได้ศึกษาช่องโหว่ Heartbleed อย่างทะลุปรุโปร่งแล้วนำไปเจาะระบบภาษีของกรมสรรพากรแคนาดาซึ่งยังไม่ได้อัพเดตความปลอดภัยของการเข้ารหัส
By: lew on 17 April 2014 - 16:43
Tags:
Topics:
ปัญหา Heartbleed ใน OpenSSL นอกจากเว็บเข้ารหัสต่างๆ แล้ว บริการทั้งหมดที่ใช้งาน OpenSSL รุ่นที่ได้รับผลกระทบก็ล้วนถูกกระทบตามไปจำนวนมาก ตอนนี้บริการสำคัญคือ Tor ก็เริ่มมีรายงานผลกระทบออกมาแล้ว ทางผู้ดูแลเซิร์ฟเวอร์รายชื่อโหนด Tor ที่ชื่อว่า moria1 ออกมาประกาศว่ากำลังแบนโหนดจำนวน 380 โหนดออกจากรายการเพราะพบปัญหา Heartbleed โดยชุดแรกเป็นโหนดที่ประกาศตัวเองว่าเป็น Guard หรือ Exit เท่านั้น คาดว่าจะมีโหนดอื่นๆ ที่ทำงานในระบบต้องถูกแบนอีกกว่าพันโหนด
ยังไม่มีรายงานยืนยันว่าเซิร์ฟเวอร์รวมรายขื่อโหนดอื่นๆ จะทำตาม moria1 หรือไม่ แต่หากทำตาม เฉพาะชุดแรกนี้จะทำให้แบนด์วิดท์ในการส่งต่อข้อมูลและการออกอินเทอร์เน็ตของเครือข่าย Tor ทั้งระบบลดลง 12%
- Read more about Tor ได้รับผลจาก Heartbleed โหนดจำนวนมากยังคงมีบั๊ก
- 2 comments
- Log in or register to post comments
By: iDan 
on 13 April 2014 - 01:53
Tags:
Topics:
กูเกิลออกมากล่าวว่า อุปกรณ์ที่รัน Android ทุกเวอร์ชันจะไม่ได้รับผลกระทบจากบั๊ก Heartbleed ยกเว้น Android 4.1.1 ที่ออกในปี 2012 นั้นได้รับผลกระทบจริง และทางกูเกิลได้ทำการออกแพตช์ไปเป็นที่เรียบร้อยแล้ว ซึ่งขณะนี้อยู่ในระหว่างแจกจ่ายไปยัง Android Partner
By: tekkasit 
on 12 April 2014 - 17:57
Tags:
CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) รายใหญ่ ก่อนหน้านี้ได้ประเมินว่าบั๊ก Heartbleed มีโอกาสให้แฮกเกอร์จะสามารถขโมย private key ซึ่งจะทำให้แฮกเกอร์สามารถแกะข้อมูลที่วิ่งผ่าน SSL ได้ทั้งหมด ซึ่งรวมถึงข้อมูลรหัสผ่าน ข้อมูลบัตรเครดิต ฯลฯ
ทาง CloudFlare ได้ตั้งเซิร์ฟเวอร์ nginx-1.5.13 ที่ใช้ OpenSSL 1.0.1.f เพื่อให้คนลองมาล้วง private key ออกไป แต่ไม่เกินสิบชั่วโมง ก็มีคนแกะ private key ออกไปได้ถึง 2 คน และ CloudFlare ก็ออกมารับรองผลแล้วว่าสามารถเจาะเอา private key ไปได้จริง
By: mk on 12 April 2014 - 17:54
Tags:
บั๊ก Heartbleed ที่ถูกค้นพบเมื่อไม่กี่วันก่อน ส่งผลสะเทือนไปทั่วโลกไอที เหตุเพราะตัวซอฟต์แวร์ OpenSSL นั้นถูกใช้อย่างกว้างขวางในฐานะซอฟต์แวร์พื้นฐานสำหรับการเข้ารหัส SSL/TLS เพื่อส่งข้อมูลแบบ HTTPS, VPN และทราฟฟิกเข้ารหัสแบบอื่นๆ
การค้นพบช่องโหว่ Heartbleed ถือเป็นการ "เจาะที่หัวใจ" ทำลายความน่าเชื่อถือของการส่งข้อมูลผ่าน SSL/TLS ลงอย่างมาก (ตามสัดส่วนการใช้ OpenSSL) เพราะการเข้ารหัสที่เรา "เชื่อว่าปลอดภัย" นั้นกลับไม่ปลอดภัยอย่างที่เคยคิดกันไว้
By: iDan on 12 April 2014 - 12:36
Tags:
ในขณะที่วงการความปลอดภัยบนโลกเทคโนโลยีสารสนเทศกำลังสั่นสะท้านเพราะบั๊ก Heartbleed ของซอฟต์แวร์ชื่อ OpenSSL ซึ่งเป็นซอฟต์แวร์เปิดให้ดาวน์โหลดไปใช้ได้ฟรีจึงได้รับความนิยมเป็นจำนวนมากนั้น ดูเหมือนว่าหน่วยงานความมั่นคงสหรัฐฯ หรือ NSA จะรู้เรื่องนี้ก่อนหน้าเรามานานแล้ว
By: Bongbank 
on 11 April 2014 - 17:51
Tags:
Topics:
จากข่าว พบบั๊กร้ายแรงใน OpenSSL รุ่นตั้งแต่ปี 2012 ทุกคนควรอัพเกรดเร่งด่วน และ ผลกระทบจากบั๊ก Heartbleed: ควรเปลี่ยนรหัสผ่าน Google, Facebook, Tumblr, Yahoo!, Dropbox
ผมจึงได้รวบรวมข้อมูลเลขเวอร์ชันของ OpenSSL ที่มีปัญหา Heartbleed นี้ และเวอร์ชันที่ได้รับการ Bug Fix บนระบบปฏิบัติการ Linux Distribution ต่างๆ มาให้ เพื่อที่คนที่ทำหน้าที่ดูแลระบบเซิร์ฟเวอร์หรือระบบรักษาความปลอดภัยจะได้ตรวจสอบได้ว่าเครื่องเซิร์ฟเวอร์ที่ใช้อยู่มีความเสี่ยงหรือไม่
สำหรับ OpenSSL ที่มีปัญหา Heartbleed จะมีเลขเวอร์ชันดังต่อไปนี้
บั๊ก Heartbleed ส่งผลกระทบเป็นวงกว้าง โดยฝั่งของผู้จำหน่ายอุปกรณ์เครือข่ายรายใหญ่ทั้ง Cisco และ Juniper ออกมาประกาศข้อมูลอย่างเป็นทางการแล้ว
ฝั่ง Cisco มีผลิตภัณฑ์ที่ยืนยันว่าได้รับผลกระทบจำนวนหนึ่ง ทั้ง IP Phone, เซิร์ฟเวอร์, ซอฟต์แวร์ตระกูล Small Cell, WebEx, AnyConnect, TelePresence และยังมีผลิตภัณฑ์อีกมากที่กำลังสอบสวนว่าได้รับผลกระทบด้วยหรือไม่ - Cisco
By: Ford AntiTrust on 11 April 2014 - 12:20
Tags:
By: mk on 10 April 2014 - 22:50
Tags:
จากข่าว พบบั๊กร้ายแรงใน OpenSSL รุ่นตั้งแต่ปี 2012 ทุกคนควรอัพเกรดเร่งด่วน หรือที่เรียกชื่อกันว่าบั๊ก "Heartbleed" สร้างผลกระทบในวงกว้างเพราะซอฟต์แวร์ที่ใช้ OpenSSL ถูกใช้กับเว็บไซต์ดังๆ มากมาย
เว็บไซต์ Mashable ได้รวบรวมข้อมูลของบริการออนไลน์ยอดฮิตต่างๆ ว่าได้รับผลกระทบจาก Heartbleed หรือไม่ และผู้ใช้จำเป็นต้องเปลี่ยนหรัสผ่านหรือเปล่า
โดยเบื้องต้นมีรายชื่อของบริการที่ควรเปลี่ยนรหัสผ่านแน่ๆ ดังนี้
By: lew on 8 April 2014 - 10:11
Tags:
Topics:
พบบั๊กร้ายแรงในไลบรารี OpenSSL ตระกูล 1.0.1 ที่ออกมาตั้งแต่ปี 2012 จากบั๊กในส่วนของ heartbeat ทำให้แฮกเกอร์สามารถอ่านข้อมูลในหน่วยความจำใดๆ ออกมาได้ ตอนนี้แพตซ์ของบั๊กนี้เริ่มปล่อยให้ดาวน์โหลดแล้ว และผู้ดูแลระบบทุกคนควรอัพเกรดทันที
OpenSSL 1.0.1 ติดตั้งไปกับ Ubuntu ตั้งแต่รุ่น 12.04.4, Debian Wheezy, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2, และ OpenSUSE 12.2 โดยมีผลตั้งแต่ OpenSSL 1.0.1 มาถึง 1.0.1f และเพิ่งได้รับการแก้ไขในรุ่น 1.0.1g เมื่อวานนี้
