Blognone - Security

ไมโครซอฟท์ใจป๋า! ยื่นคำท้า "หาช่องโหว่ Windows 8.1 เจอ เอาไปเลย 100,000 เหรียญ"

magnamonkun — Wed, 19 Jun 2013 19:37:27 +0000

ยิ่งใกล้ช่วงที่ไมโครซอฟท์จะปล่อยตัวพรีวิวแรกของ Windows 8.1 ไมโครซอฟท์ก็จัดแคมเปญเรียกขวัญนักพัฒนา แฮคเกอร์ หรือแม้แต่ผู้ดูแลระบบทั่วโลก โดยให้เข้าทดสอบ Windows 8.1 พร้อมกัน และยื่นคำท้าว่า ถ้าหาบั๊กใน Windows 8.1 เจอและส่งรายงานให้ไมโครซอฟท์ตรวจสอบเป็นคนแรก ถ้าไมโครซอฟท์เจอจริง รับเงินรางวัลกลับไปนอนกอดได้เลยครับ

โดยหัวข้อที่ไมโครซอฟท์จะเปิดรับแจ้งเพื่อชิงเงินรางวัล จะมีดังต่อไปนี้

ส่วนที่เกี่ยวข้องกับการเจาะช่องโหว่เข้าระบบ (Mitigation Bypass Bounty) ถ้าหาเจอ ไมโครซอฟท์จะจ่ายให้ 100,000 ดอลล่าร์สหรัฐฯ ต่อ 1 ช่องโหว่
ช่องโหว่ของระบบที่เกี่ยวข้องกับ BlueHat (BlueHat Bonus for Defense) ถ้าหาเจอ ไมโครซอฟท์จะจ่ายให้ 50,000 ดอลล่าร์สหรัฐฯ ต่อ 1 รายงาน
บั๊กและช่องโหว่สำหรับการโจมตีเข้าระบบผ่าน Internet Explorer 11 (Internet Explorer 11 Preview Bug Bounty) ไมโครซอฟท์จะจ่ายให้ 11,000 ดอลล่าร์สหรัฐฯ ต่อ 1 ช่องโหว่ โดยกรณี IE จะต้องเป็นช่องโหว่ที่ถูกโจมตีได้จริง และสำหรับกรณีนี้ ไมโครซอฟท์จะเปิดรับรายงานจนถึงวันที่ 26 กรกฎาคมเท่านั้น

ใครที่สนใจติดตามรายละเอียดได้จากที่มาครับ

ที่มา - Microsoft Security Respond Center

Windows 8.1, Windows 8, Microsoft, Operating System, Bug, Internet Explorer, Security

รหัสผ่าน Mobile Hotspot บน iOS ถูกเดาได้ภายในไม่ถึง 50 วินาที

Blltz — Wed, 19 Jun 2013 13:15:11 +0000

ทีมนักวิจัยจากมหาวิทยาลัยเออร์ลานเกน ประเทศเยอรมนีเผยผลการวิจัยเกี่ยวกับความปลอดภัยในการตั้งรหัสผ่าน พบว่าสามารถเดารหัสผ่านของ Mobile Hotspot ใน iOS ได้ภายในเวลาสั้นๆ

โดยทีมนักวิจัยดังกล่าวได้อธิบายถึงระบบเดารหัสผ่าน Mobile Hotspot ใน iOS ด้วยคำศัพท์จากเกม Scrabble จำนวนกว่า 52,500 รูปแบบ จากการโจมตีด้วยโดยใช้คำดังกล่าว สามารถเดารหัสผ่านของ Mobile Hotspot ใน iOS ได้อย่างสมบูรณ์ และพบว่าแอปเปิลเลือกใช้ชุดคำมาตั้งเป็นรหัสผ่านเพียง 1,842 รูปแบบเท่านั้น

สำหรับระยะเวลาในความพยายามเดารหัสผ่านนั้น ทีมนักวิจัยได้ทดลองโดยใช้การ์ดจอ AMD Radeon HD 7970s สี่ตัว พบว่าสามารถเดารหัสผ่านได้ภายใน 50 วินาที

ทีมนักวิจัยพูดถึงประเด็นนี้ว่ารหัสผ่านจากระบบสำหรับ Mobile Hotspot ไม่ควรใช้ชุดคำที่น้อย ไม่จำเป็นต้องสั้น และจำง่าย จากรูปแบบการใช้งานของรหัสผ่านที่ควรเปลี่ยนไปเรื่อยๆ

นอกจากนี้ทีมนักวิจัยยังพูดถึงรหัสผ่านของ Mobile Hotspot ของระบบปฏิบัติการอื่นด้วย โดย Windows Phone 8 นั้นใช้ตัวเลขเพียงแปดหลักเท่านั้นสำหรับรหัสผ่าน (น่าจะง่ายกว่าของ iOS ด้วยซ้ำ) ส่วนของ Android นั้นทำรหัสผ่านมาได้ยากอยู่แล้ว และผู้ผลิตบางเจ้ายังดัดแปลงรหัสผ่านอีก จึงทำให้ยากต่อการโจมตีอย่างมาก (หรือบางกรณีก็อาจจะง่ายขึ้น)

ที่มา - ZDNet

iOS, Password, Security

pod2g อาจอำลาวงการแฮก iOS หลังไม่ปลื้ม iOS 7, ตั้งใจไปซบ Android

Be1con — Tue, 18 Jun 2013 06:58:33 +0000

pod2g นักแฮก iOS ชื่อก้อง เจ้าของแอพสามัญประจำคน jailbreak อย่าง Installous, No SIM Unlock ฯลฯ ประกาศผ่านทวิตเตอร์ว่า pod2g เตรียมอำลาวงการ jailbreak บน iOS อย่างเป็นทางการ หลังจากที่ iOS 7 ได้สร้างความผิดหวังกับเขาไว้อย่างมาก พร้อมทั้งบอกว่า เตรียมย้ายไปใช้ Android แทน สุดท้ายเขายังบอกว่า นี่แค่รุ่นทดสอบแรก และคาดว่ายังคงรอรุ่นทดสอบตัวต่อไป แต่ส่วนตัวคิดว่า ถ้ารุ่นต่อมายังไม่ประทับใจอีก ก็คงหนีไปซบ Android ถาวรก็เป็นได้

และนี่คงเป็นหนึ่งในสัญญาณความไม่พอใจของนักพัฒนาและนักออกแบบที่เคยรุมสวดไปแล้วรอบหนึ่ง

ที่มา: Redmond Pie

และนี่คือบางส่วนของทวีตที่เขาไม่พอใจ iOS 7

After a few days of iOS 7 beta 1 testing, I must admit that I am about to switch to an Android device.June 17, 2013

iOS 7 design is awful, it's slow, battery life time is the worst ever, it's full of UI bugs and crashes. OK it's beta 1, but still…

— pod2g (@pod2g) June 17, 2013

Android, iOS, iOS 7, Jailbreak, Security

Asymmetric Cryptography: แตกต่างแต่เข้าใจกัน

lew — Sun, 16 Jun 2013 20:43:52 +0000

กระบวนการเข้ารหัสที่สำคัญอย่างแบบกุญแจสมมาตร (symmetic key encryption) ในตอนที่แล้วแม้จะสามารถป้องกันการดักฟังได้อย่างมีประสิทธิภาพ แต่ข้อจำกัดคือทั้งสองฝ่ายต้องรับรู้ “ความลับ” ร่วมกัน และข้อจำกัดที่สำคัญมากคือ ผู้ที่รู้ความลับนี้ทุกคนจะเข้าไปอ่านข้อความได้ทั้งหมด

การใช้งานในอินเทอร์เน็ตนั้นต่างออกไป ส่วนมากเรามักจะรับรู้ว่าเราต้องการติดต่อกับใคร เช่น เราต้องการเข้าเว็บไซต์ซักเว็บและเราต้องการแน่ใจว่าเว็บนั้นเป็นเว็บที่เราตั้งใจจะเข้าใช้งานจริง ต้องไม่มีใครปลอมตัวเป็นเว็บนั้นได้ หรือไม่มีใครอ่านข้อความที่เรากับเว็บนั้นๆ สื่อสารถึงกันได้ กระบวนการเข้ารหัสแบบกุญแจไม่สมมาตร (asymmetric key encryption) เป็นกระบวนการเข้ารหัสที่เปิดให้ผู้ส่งข้อมูลกับผู้รับข้อมูลสามารถใช้กุญแจคนละชุดกัน ที่สร้างมาคู่กันโดยเฉพาะ แล้วสร้างการเชื่อมต่อที่เข้ารหัสถึงกันได้

การแลกกุญแจแบบ Diffie–Hellman

Diffie–Hellman (DH) เป็นกระบวนการสร้าง “ความลับ” ระหว่างกันโดยไม่ต้องส่งความลับนั้นถึงกันจริงๆ โดยทั่วไปแล้วความลับที่ว่าคือการแลก “กุญแจ” สำหรับการเข้ารหัสแบบกุญแจสมมาตรเพื่อส่งข้อมูลถึงกันต่อไป กระบวนการ DH นี้ไม่สามารถเข้ารหัสโดยตัวมันเองได้ เพียงแต่บอกกระบวนการสร้างความลับร่วมกันเท่านั้น

การอธิบายกระบวนการ DH นั้นอาศัยความจริงที่ว่า (n^a)^b mod p = (n^b)^a mod p เมื่อเราใช้ค่า (n^a)^b mod p นี้เป็นค่ากุญแจสำหรับการเข้ารหัสแบบกุญแจสมมาตร เราสามารถแลกค่า n และ p อย่างเปิดเผยได้ โดย a และ b เป็นความลับที่แต่ละฝ่ายต้องเก็บไว้กับตัว สิ่งที่แต่ละฝ่ายส่งให้กันคือค่า n^a mod p และ n^b mod p เมื่ออีกฝ่ายนำไปยกกำลังกับความลับของตัวเองก็จะได้ตัวเลขชุดที่เหมือนกันทั้งสองฝั่ง หากแฮกเกอร์ไม่รู้ทั้งค่าความลับของทั้งสองฝั่ง ก็ไม่สามารถถอดรหัสได้

ทั้งสองฝ่ายต้องสร้างตัวเลขลับสำหรับตัวเองขึ้นมา
ฝ่ายเริ่มต้นส่งพารามิเตอร์ คือ n และ p ให้กับอีกฝ่าย
ทั้งสองฝ่ายแลกค่า A = n^a mod p และ B = n^b mod p ให้อีกฝ่าย
ทั้งสองฝ่ายมีความลับร่วมกันที่คนอื่นไม่สามารถรับรู้ได้

กระบวนการ DH ยังคงได้รับความนิยมอยู่จนทุกวันนี้ในการแลกกุญแจการเชื่อมต่อ แต่โดยตัวกระบวนการ DH เองไม่มีการยืนยันว่าฝ่ายตรงข้ามเป็นคนที่เราต้องการพูดคุยด้วยจริงหรือไม่ เราเรียกการเชื่อมต่อแบบ DH ที่ไม่มีการยืนยันตัวตนนี้ว่า Anonymous DH (ADH) กระบวนการนี้แม้จะทนทานต่อการดักฟัง แต่หากมีคนร้ายปลอมตัวเป็นฝ่ายตรงข้ามที่เราต้องการคุยด้วย (การโจมตีแบบ man-in-the-middle) โดยคนร้ายเชื่อมต่อกับเราด้วยกระบวนการ DH และเชื่อมต่อกับปลายทางด้วย DH เหมือนกันก็จะดักทุกอย่างได้ทันที

เราสามารถสร้างเซิร์ฟเวอร์แบบ ADH ได้ง่ายๆ ด้วยการใช้ OpenSSL ที่มีติดตั้งอยู่ในลินุกซ์ส่วนมาก ด้วยคำสั่ง openssl s_server -nocert -cipher aNULL ในฝั่งเซิร์ฟเวอร์ และ openssl s_client -cipher aNULL ในฝั่งไคลเอนต์ ก็สามารถเชื่อมต่อแบบเข้ารหัสได้ทันที โดยที่การเข้ารหัสแบบกุญแจสมมาตรนั้นจะมีการเลือกให้โดยอัตโนมัติ ขึ้นกับเวอร์ชั่นของ OpenSSL ที่ใช้งานนั้นซัพพอร์ตกระบวนการใดบ้าง

RSA

กระบวนการเข้ารหัสที่ดังที่สุดอันหนึ่งของโลกคงเป็น RSA ที่ยังเป็นชื่อของบริษัทขายสินค้าความปลอดภัยชื่อดังในตัว (ปัจจุบัน RSA เป็นบริษัทในเครือ EMC) RSA ต่างจากกระบวนการ DH เพราะมันเป็นกระบวนการ “เข้ารหัส” อย่างเต็มรูปแบบ โดยไม่ต้องการกระบวนการเข้ารหัสอื่นๆ มาเสริมอีก เราสามารถเข้ารหัสไฟล์ข้อมูลขนาดใหญ่ด้วยกระบวนการ RSA ได้ แม้จะไม่เป็นที่นิยมนักเพราะกระบวนการกินพลังประมวลผลสูง

กระบวนการ RSA เริ่มจากการสุ่มเลขจำนวนเฉพาะขนาดใหญ่สองตัวเพื่อสร้างกุญแจที่เป็นคู่กันและกันแล้วสร้างเป็นกุญแจคู่หนึ่ง ที่จะถอดรหัสได้จากคู่ของมันเท่านั้น กระบวนการแบบนี้ทำให้ในการใช้งานจริง เรามัก “แจก” กุญแจฝั่งหนึ่งให้ทั่วโลกได้เห็น แล้วเรียกมันว่ากุญแจสาธารณะ จากนั้นจึงเก็บอีกฝั่งหนึ่งไว้เป็นความลับกับตัวเราเอง ในกระบวนการเข้ารหัสการเชื่อมต่อ ที่เราต้องการใช้กุญแจสมมาตร เราอาจจะให้ฝั่งใดฝั่งหนึ่ง สร้างกุญแจขึ้นมาด้วยกระบวนการสุ่ม แล้วส่งให้กับอีกฝ่ายหนึ่งด้วยการเข้ารหัสกุญแจด้วยกระบวนการ RSA โดยใช้กุญแจสาธารณะของอีกฝ่าย ซึ่งจะทำให้มีเพียงเจ้าของกุญแจเท่านั้นที่อ่านได้

ลายเซ็นดิจิตอล

กระบวนการยืนยันความถูกต้องของเอกสารนั้นมีความสำคัญเป็นอย่างยิ่งในโลกออนไลน์ หลายครั้งที่เราไม่ต้องการปิดบังความลับในเอกสารแต่อย่างใด แต่เราต้องการยืนยันว่าเอกสารนั้นมาจากเราจริง

กระบวนการเซ็นดิจิตอลสามารถทำได้ด้วยกระบวนการ RSA โดยใช้กุญแจลับมาเข้ารหัสค่าแฮชของเอกสารแล้วแนบค่าแฮชนั้นติดไปกับเอกสาร เมื่อผู้รับสารได้รับ ก็สามารถแฮชเอกสารจนได้ค่าแฮชมาแล้วถอดรหัสลายเซ็นดิจิตอลด้วกุญแจสาธารณะของผู้ลงลายเซ็นแล้วดูว่าค่าแฮชนั้นตรงกันหรือไม่ ถ้าตรงกันก็แสดงว่าลายเซ็นถูกต้อง

Public Key Infrastructure (PKI)

คำถามสุดท้ายในระบบกุญแจสาธารณะคือเราจะรู้ได้อย่างไรว่ากุญแจสาธารณะที่เราได้มานั้นเป็นของใคร แม้ในไฟล์กุญแจอาจจะแจ้งที่มาของตัวเอง แต่เราจะรู้ได้อย่างไรว่าเจ้าของกุญแจนั้นเป็นตัวจริง

ระบบโครงสร้างพื้นฐานกุญแจสาธารณะ ระบุให้เราต้องมีหน่วยงานที่รู้จักตั้งแต่แรกอยู่ในเครื่องของเราเสียก่อนเรียกว่าหน่วยงานออกใบรับรอง (Certification Authority - CA) หน่วยงานเหล่านี้มักทำงานร่วมกับผู้ผลิตระบบปฎิบัติการ, ผู้ผลิตเบราว์เซอร์, หรือแม้แต่ผู้ผลิตไลบรารีความปลอดภัย เพื่อยืนยันว่าหน่วยงานของตัวเองมีความปลอดภัยอย่างเพียงพอ มีกระบวนการตรวจสอบผู้ที่จะมาขอให้รับรองกุญแจสาธารณะของตัวเองได้อย่างครบถ้วน เมื่อผ่านกระบวนการตรวจสอบในระดับหนึ่งแล้ว ผู้ผลิตซอฟต์แวร์ก็จะรวมเอากุญแจสาธารณะของหน่วยงานเหล่านี้เข้าไว้ในซอฟต์แวร์ของตัวเอง (ตัวอย่างรายชื่อหน่วยงานที่ Mozilla/Firefox รวมกุญแจสาธารณะไว้)

สำหรับผู้อื่นที่ต้องการใช้มีการรับรองกุญแจสาธารณะของตัวเอง ต้องสร้างกุญแจสาธารณะขึ้นมาในเครื่องของตัวเองเป็นไฟล์ที่เรียกว่าไฟล์ CSR (Certificate Signing Request) แล้วส่งไปยังหน่วยงานที่ได้รับการรับรองเหล่านี้ จากนั้นหน่วยงานเหล่านี้จะมีการยืนยันตัวตน เช่น การส่งอีเมลมาขอยืนยัน, หรือกระทั่งการขอเอกสารทางราชการในบางกรณี เมื่อยืนยันตามกระบวนการแล้วหน่วยงานเหล่านี้จะใช้กุญแจลับของตนเองเซ็นลายเซ็นดิจิตอล ซึ่งก็คือค่าแฮชของข้อมูลในไฟล์ CSR แล้วเข้ารหัส แล้วส่งกลับมายังผู้ร้องขอเป็นไฟล์รับรอง (Certificate - CRT)

ในระบบการรับรองนั้นหน่วยงานที่ทำงานร่วมกับผู้ผลิตซอฟต์แวร์จริงมักมีน้อยไม่เกินหนึ่งร้อยราย และกระบวนการติดต่อเพื่อขอรับรองจะใช้เวลานานและเงินทุนที่สูงมาก แต่หน่วยงานที่ได้รับความเชื่อถือจากซอฟต์แวร์เหล่านี้แล้วมีสิทธิที่จะรับรองหน่วยงานรับรองอื่นๆ เรียกว่าเป็นหน่วยงานขั้นกลาง (Intermediate CA) เพื่อไปรับรองใบรับรองจริงๆ ต่อไป โดยที่ซอฟต์แวร์เช่นเบราว์เซอร์ จะไล่ดูว่าสุดท้ายแล้วหน่วยงานสุดท้ายที่รับรองกุญแจมานั้นอยู่ในรายชื่อของหน่วยงานที่เชื่อถือหรือไม่ ถ้าเชื่อถือก็จะให้ผู้ใช้เข้าใช้งาน แต่ถ้าไม่เชื่อถือก็จะขึ้นหน้าจอแจ้งเตือนผู้ใช้

เราสามารถสร้างไฟล์รับรองขึ้นมาเองได้โดยไม่ต้องไปขอหน่วยงานอื่นให้เซ็นแต่อย่างใด ไฟล์ประเภทนั้นเรียกว่าไฟล์รับรองตนเอง (Self Signed Certificate) ซึ่งเบราว์เซอร์จะขึ้นเตือนเมื่อใช้งานเสมอ

ข่าวการรั่วไหลของระบบเครือข่ายของบริษัทให้บริการรับรองกุญแจสาธารณะ ทำให้หน่วยงานเหล่านี้เก็บรักษากุญแจลับของตัวเองหนาแน่นขึ้น ไม่ยอมให้ซอฟต์แวร์ต่างๆ เข้าถึงกุญแจลับได้โดยตรงอีกต่อไป วิธีการคือให้กุญแจลับเซ็นกุญแจสาธารณะของหน่วยงานขั้นกลางขึ้นมาอีกชั้น แล้วนำกุญแจลับของหน่วยงานขั้นกลางนี้ให้บริการอยู่ในคอมพิวเตอร์อัตโนมัติ หากระบบรั่วไหลจริง ก็สามารถยกเลิกหน่วยงานขั้นกลางนี้ไปแล้วแจ้งให้ซอฟต์แวร์ทั้งหมดยกเลิกความเชื่อถือหน่วยงานขั้นกลางนั้นไป ทุกวันนี้เวลาที่เราส่งไฟล์ CSR ไปยังหน่วยงานเหล่านี้เราจะได้รับไฟล์ CRT กลับคืนมาพร้อมกับไฟล์รับรองของหน่วยงานขั้นกลางนี้มาพร้อมกัน

กระบวนการรับรองนี้สามารถรับรองได้หลายอย่าง นับแต่ชื่อโดเมนที่เราใช้กันโดยทั่วไป, อีเมลที่เราสามารถยืนยันได้ว่าเนื้อหาในอีเมลมาจากเราจริง, ไปจนถึงระบบสมาร์ตการ์ด

การยืนยันอีเมลนั้นหน่วยงานให้ไฟล์รับรองออกมาเป็นไฟล์ที่เรัยกว่า PKCS #12 ไฟล์นี้สามารถรวมเข้าไว้ในเบราว์เซอร์ของเราเพื่อใช้ยืนยันว่าเราเป็นเจ้าของอีเมลที่มีอยู่ในใบรับรองได้ เราสามารถใช้ข้อมูลจากไฟล์รับรองนี้ส่งให้เว็บต่างๆ เพื่อใช้ล็อกอินอย่างปลอดภัยโดยไม่ต้องจำรหัสผ่านได้ แม้จะออกแบบมาเป็นอย่างดี แต่ในความเป็นจริงระบบนี้ก็ไม่ได้รับความนิยมนักเพราะใช้งานค่อนข้างยุ่งยาก

ในระบบสมาร์ตการ์ด มีมาตรฐานที่เรียกว่า PKCS #11 ออกแบบให้สมาร์ตการ์ดเป็นที่เก็บกุญแจลับของเรา สมาร์ตการ์ดจะมีทั้งกุญแจลับและกุญแจสาธารณะที่ได้รับการรับรองจนเป็นไฟล์รับรองอยู่ในตัว เมื่อเราต้องการทำธุรกรรม เช่นการโอนเงิน เครื่องที่คอมพิวเตอร์ที่เราเสียบสมาร์ตการ์ดจะดาวน์โหลดไฟล์รับรองเพื่อตรวจสอบว่าเราได้รับการรับรองจากหน่วยงาน (เช่นกระทรวงมหาดไท ในกรณีบัตรประชาชน) จริงหรือไม่ เมื่อตรวจสอบแล้วถูกต้องจึงส่งค่าแฮชของไฟล์ข้อมูลที่เราจะกระทำ เช่นไฟล์ข้อมูลโอนเงิน เข้าไปยังสมาร์ตการ์ดเพื่อเข้ารหัสค่าแฮชออกมาเป็นลายเซ็นดิจิตอล การใช้สมาร์ตการ์ดมีข้อดีหลายข้อ คือกุญแจลับเป็นบัตรนั้นเก็บรักษาได้ง่าย และทำสำเนายากกว่า สมาร์ตการ์ดบางรุ่นต้องใส่รหัสผ่านสี่หลักเสมอ และจะทำลายกุญแจลับทันทีที่ใส่รหัสผิดครบจำนวนครั้งที่กำหนด ในโลกความเป็นจริง กุญแจลับของหน่วยงานออกใบรับรองนั้นก็มักเก็บรักษาเป็นสมาร์ตการ์ด โดยต้องมีเก็บใบสำเนาแยกไว้ และรักษาความปลอดภัยไว้เท่าเทียมกัน (เคยมีกรณีที่หน่วยงานเลินเล่อ ไม่สำรองบัตรแล้วทำกุญแจลับหายก็มีมาแล้ว แต่เป็นช่วงทดสอบโครงการ)

ทุกวันนี้บัตรสมาร์ตการ์ดสำหรับการจ่ายเงินมักเป็นบัตร EMV (Europay, MasterCard and Visa) ซึ่งแม้จะมีฟอร์แมตและ API ของบัตรต่างจากกระบวนการ PKI ใน PKCS #11 แต่หลักการก็ยังคงคล้ายกันคือการเซ็นใบรับรองต้องมาจากเจ้าของเครือข่ายอย่าง VISA ซึ่งจะใช้ใบรับรองขั้นกลางเซ็นใบรับรองให้กับหน่วยงานออกบัตร เช่น ธนาคาร เพื่อมารับรองบัตรเครดิตอีกที และบัตรจะยืนยันกระบวนการต่างๆ เช่น การจ่ายเงิน ได้ว่ามีการจ่ายเงินจริงด้วยบัตรตัวจริงหรือไม่

Special Report, In-Depth, Security

ร่างกฎหมายความมั่นคงทางไซเบอร์ของญี่ปุ่นให้อำนาจทหารตรวจสอบอินเทอร์เน็ต

lew — Fri, 14 Jun 2013 10:20:18 +0000

โครงการ PRISM ของสหรัฐฯ กำลังถูกวิจารณ์จากทั่วโลกว่าละเมิดต่อประชาชนของตัวเองและชาติอื่นๆ แต่ร่างกฎหมายความมั่นคงทางไซเบอร์ (Cyber Security 2013) กำลังเปิดโอกาสให้กองกำลังป้องกันตนเองของญี่ปุ่น (เพราะญี่ปุ่นไม่มีกองทัพอย่างเป็นทางการ แต่หน้าที่ของกองกำลังคล้ายกัน) ตั้งศูนย์ตรวจสอบข้อมูลอินเทอร์เน็ตได้

กฎหมายฉบับนี้อยู่ในขั้นของการร่าง และมันถูกเสนอโดยศูนย์ความมั่นคงข้อมูลข่าวสารแห่งชาติ (National Information Security Centre - NISC) ที่เป็นหน่วยงานที่ปรึกษาของรัฐบาล ระบุว่าศูนย์นี้จะตรวจสอบเฉพาะ "ข้อมูลการส่งต่อ" เช่น header ของแพ็กเก็ตโดยไม่ลงลึกไปมากกว่านั้น การอ้างเหตุผลของการมีศูนย์นี้คือรัฐบาลจะสามารถจัดการกับการโจมตีบางอย่างเช่น DoS ได้

ร่างกฎหมายฉบับนี้เผยแพร่ลงเว็บเมื่อวันจันทร์ที่ผ่านมา นับว่าเป็นช่วงเวลาที่ไม่ดีนักหากต้องการเสียงสนับสนุน

ที่มา - The Register

Japan, Privacy, Security

[Ask Blognone] บริการใดยังต้องใช้ Java Applet

lew — Fri, 14 Jun 2013 04:01:38 +0000

ปัญหาความปลอดภัยของ Java Applet เป็นปัญหาต่อเนื่องในปีที่ผ่านมา ล่าสุดช่องโหว่ถูกปรับแต่งมาใช้เพื่อโจมตีคนไทยโดยเฉพาะ Ask Blognone ตอนนี้ขอเชิญทุกท่านมาช่วยกันให้ข้อมูล ว่ายังมีบริการใดสำหรับคนทั่วไป ไม่ว่าฟรี, เสียเงิน, ต้องสมัครสมาชิก ฯลฯ (ไม่นับบริการภายในองค์กรที่ให้เฉพาะพนักงานใช้งาน) ที่ยังให้ผู้ใช้ต้องติดตั้ง Java เพื่อรัน Java Applet อยู่บ้าง

ข้อมูลที่ควรมี

ชื่อบริการ ชื่อหน่วยงานอย่างชัดเจน
หน่วยงานมีการแจ้งเตือนให้ ระวัง, หยุดใช้งาน, หรือหลีกเลี่ยง การใช้บริการเหล่านี้หรือไม่ ถ้ามีเป็นคำเตือนอย่างไรบ้าง อาจจะโพสข้อความแจ้งมาให้ดูได้เลย
หน่วยงานแจ้งแผนการเลิกใช้งาน การปรับไปใช้เทคโนโลยีอื่นหรือไม่ ระยะเวลาการปรับเปลี่ยนนานแค่ไหน

ถ้าตัวแทนของหน่วยงานที่ถูกอ้างอิงถึงต้องการให้ข้อมูลเพิ่มเติม สามารถมาแจ้งในกระทู้นี้ได้เลยเช่นกันครับ

Ask Blognone, Java, Security

iOS7 beta มีช่องโหวเข้าถึงภาพในเครื่องโดยไม่ต้องผ่าน Lock Screen

LazarusSP1 — Fri, 14 Jun 2013 01:17:41 +0000

เมื่อคืนวันจันทร์ที่ผ่านมา Apple เปิดตัว iOS 7 ในงาน WWDC และได้เปิดให้โหลดรุ่น Beta สำหรับนักพัฒนา เมื่อจบงาน WWDC ก็มีมือดีสามารถค้นหาช่องโหว่ที่สามารถเข้าถึงรูปภาพในเครื่องโดยไม่ต้องใส่รหัสผ่าน

ทาง Forbe ได้เปิดเผยวิดีโอช่องโหว่ของ Lock Screen เพื่อที่จะเข้าถึงภาพในอัลบัมภาพของเครื่องโดยไม่ต้องใส่รหัสผ่าน ซึ่งสามารถเข้าดูภาพได้ทั้งเครื่อง สั่งลบ หรือแชร์ออกโซเชียลมีเดียก็ได้

ชายวัย 36 ปีที่พบช่องโหว่ใน Lock Screen ของ iOS 7 กล่าวว่า "เราสามารถใช้ช่องว่างของ Lock Screen โดยเข้า Control Center และกดเข้าเครื่องคิดเลข ก่อนที่จะเข้าโหมดกล้องถ่ายรูป เท่านี้เราก็จะสามารถเข้าดูรูปในมือถือได้แล้ว"

อย่างไรก็ตาม iOS 7 ยังอยู่ในสถานะ Beta และไม่ได้ให้คนทั่วไปโหลด คนที่ใช้ได้มีเพียงนักพัฒนาที่ลงทะเบียนกับทาง Apple ไว้เท่านั้น และช่องว่างดังกล่าวไม่สามารถปิดโหมด Lost ของ iOS 7 ได้อยู่ดี

ที่มา - The Hacker News

Apple, iOS 7, iPhone, Security

เว็บไซต์สำนักข่าวในไทยหลายแห่งถูกเจาะ มีโทรจันขโมยเงินจากธนาคาร

Bigta — Thu, 13 Jun 2013 11:19:10 +0000

เมื่อวันที่ 12-13 มิถุนายนที่ผ่านมา เว็บไซต์สำนักข่าวในประเทศไทยหลายแห่ง ได้ถูกเจาะระบบเพื่อฝังโทรจันที่โจมตีผ่านช่องโหว่ของ Java

โทรจันตัวนี้จะไปแก้ไขหน้าเว็บไซต์ของธนาคารออนไลน์ในประเทศไทย ให้แสดงลิงก์สำหรับใส่เบอร์มือถือเพื่อรับ SMS ดาวน์โหลดโปรแกรม AVG AntiVirus Mobile Pro สำหรับติดตั้งใน Android โดยโปรแกรมดังกล่าวเป็นโปรแกรมแอนตี้ไวรัสปลอม จุดประสงค์เพื่อขโมย SMS OTP จากธนาคาร

สำหรับข้อมูลเพิ่มเติมของโทรจัน รวมถึงวิธีการตรวจสอบและแก้ไข สามารถอ่านได้จากที่มาครับ

ที่มา: ThaiCERT

Java, Banking, Security, Thailand, Trojan

Google ปรับเพิ่มเงินรางวัลสำหรับผู้ค้นพบช่องโหว่ของเว็บไซต์

ตะโร่งโต้ง — Sat, 08 Jun 2013 16:44:29 +0000

Google ประกาศปรับอัตราเงินรางวัลสำหรับผู้แจ้งช่องโหว่ของเว็บเพิ่มขึ้นหลังจากที่เพิ่งปรับอัตราการจ่ายเงินรางวัลไปเมื่อไม่กี่เดือนก่อน

Google ได้ปรับเกณฑ์การให้รางวัลสำหรับผู้ค้นพบช่องโหว่โดยการทำ XSS (cross-site scrpting) ซึ่งเป็นการฝังโค้ดเข้าไปในหน้าเว็บไซต์ที่มีช่องโหว่นั้นเพื่อดักจับข้อมูลสำคัญในระหว่างที่ผู้ใช้งานเปิดเข้าใช้หน้าเว็บไซต์ดังกล่าว

ช่องโหว่เว็บบัญชีผู้ใช้งาน accounts.google.com จะได้รับเงินรางวัล 7,500 ดอลลาร์ (จากเดิม 3,133.70 ดอลลาร์)
ช่องโหว่เว็บบริการสำคัญ เช่น Gmail และ Google Wallet จะได้รับเงินรางวัล 5,000 ดอลลาร์ (จากเดิม 1,337 ดอลลาร์)
ช่องโหว่ของหน้าเว็บอื่นๆ จะได้รับเงินรางวัล 3,133.70 ดอลลาร์ (จากเดิม 500 ดอลลาร์)

นอกเหนือจากนี้ Google ยังเพิ่มอัตราเงินรางวัลสำหรับการเจาะระบบโดยลัดขั้นตอนยืนยันตัวบุคคลของผู้ใช้งาน หรือการดึงข้อมูลรั่วไหลจากส่วนดังกล่าวได้เป็น 7,500 ดอลลาร์ (จากเดิม 5,000 ดอลลาร์)

ในช่วงไม่กี่ปีมานี้ Google อัดฉีดเงินรางวัลสำหรับผู้คนพบบั๊กและช่องโหว่ต่างๆ ในบริการของตนเองเพิ่มมากขึ้นเรื่อยๆ ใครที่มีความสามารถและเวลาเพียงพอก็น่าจะลองหารายได้จากทางนี้ได้เช่นกัน สามารถดูรายละเอียดเพิ่มเติมได้ที่นี่

ที่มา - ZDNet

Bug, Google, Web Security, Security

นักวิจัยบอกแค่ใช้ที่ชาร์จแบบพิเศษก็แฮ็ก iPhone หรือ iPad ได้ใน 1 นาที

ตะโร่งโต้ง — Mon, 03 Jun 2013 14:14:30 +0000

นักวิจัยด้านความปลอดภัยเผยว่าเขาค้นพบวิธีการที่จะแฮ็กอุปกรณ์ที่ใช้ระบบปฏิบัติการ iOS ได้สำเร็จภายใน 1 นาที โดยใช้เพียงที่ชาร์จไฟซึ่งได้รับการดัดแปลงพิเศษเท่านั้น

ทีมนักวิจัยจากสถาบัน Georgia Institute of Technology เผยว่าต้นแบบที่ชาร์จไฟซึ่งได้รับการดัดแปลงแบบพิเศษซึ่งพวกเขาเรียกมันว่า "Mactans" สามารถปล่อยมัลแวร์เข้าสู่อุปกรณ์ iOS ได้หลังจากเสียบสายชาร์จดังกล่าวเข้ากับอุปกรณ์เป็นเวลา 1 นาทีเท่านั้น

ซอฟต์แวร์ที่ Mactans ปล่อยเข้าสู่อุปกรณ์ iOS นั้นสามารถทำงานได้อย่างอัตโนมัติโดยไม่ต้องหลอกล่อผู้ใช้อุปกรณ์ให้ติดตั้งหรืออนุญาตให้ซอฟต์แวร์ดำเนินการใดๆ นอกจากนี้ไม่ว่าเครื่องจะผ่านการ jailbreak มาหรือไม่ ต่างก็โดนเล่นงานได้เหมือนกัน ที่สำคัญก็คือ ภายหลังจากที่มันติดตั้งตัวเองในระบบ iOS เสร็จสิ้นแล้ว มันสามารถซ่อนตัวเองได้ด้วย ซึ่งหากผู้ใช้ไม่ตรวจสอบให้ถี่ถ้วนก็จะไม่มีทางรู้ได้เลยว่าโดนเล่นงานเข้าแล้ว

Mactans ที่ถูกสร้างขึ้นโดยใช้ BeagleBoard ซึ่งเป็นพีซีขนาดเล็กประมาณบัตรเครดิต ใช้ระบบปฏิบัติการ Linux ถูกผลิตโดย Texas Instrument และมีราคาเพียง 45 ดอลลาร์ ซึ่งแน่นอนว่าเมื่อถูกจับมายัดใส่ที่ชาร์จไฟย่อมทำให้มีขนาดใหญ่ผิดสังเกต แต่ก็ไม่แน่ว่าหากมีคนจงใจสร้างเครื่องมือแฮ็กอุปกรณ์ iOS จริง มันอาจมาในรูปแบบของแท่นชาร์จ หรืออาจมีการดัดแปลงชิ้นงานให้มีขนาดเล็กลงก็เป็นได้

ทีมงานวิจัยระบุว่าได้ติดต่อไปยัง Apple และแจ้งช่องโหว่ดังกล่าวให้ทราบแล้ว แต่ยังไม่มีการตอบรับใดๆ

ที่มา - Cult of Mac, The Verge

Hacking, iOS, Security

ออราเคิลออกนโยบายความปลอดภัยแก้ปัญหา Java รั่ว, ออก Server JRE รุ่นไร้ปลั๊กอิน

mk — Sat, 01 Jun 2013 04:08:39 +0000

ปัญหาความปลอดภัยของ Java ในรอบปีสองปีที่ผ่านมาสร้างชื่อเสียงทางลบอย่างมาก จนออราเคิลต้องออกมาประกาศนโยบายด้านความปลอดภัยใหม่ของ Java ชุดใหญ่ ดังนี้

แยกรุ่นของ JRE เป็น Server JRE โดยไม่มี Java Plug-in ที่เป็นปัญหาโดนเจาะมาตลอด เพื่อให้ปัญหาช่องโหว่ไม่กระทบงานด้านเซิร์ฟเวอร์ (เริ่มใช้ตั้งแต่ Java 7u21 เป็นต้นไป)
แยกกระบวนการออกแพตช์ความปลอดภัยเป็น 2 ประเภท คือ Critical Patch Update รุ่นมาตรฐานออกปีละ 4 ครั้งตามรอบซอฟต์แวร์ตัวอื่นของบริษัท และ Security Alert สำหรับแก้ปัญหาเฉพาะหน้าเป็นจุดๆ ไปเมื่อค้นพบช่องโหว่สำคัญ
เปลี่ยนเงื่อนไขการรัน Java applet โดย applet ที่ถูก sign จะไม่จำเป็นต้องได้สิทธิรันนอก sandbox อัตโนมัติเหมือนก่อน และตัวปลั๊กอินจะตั้งค่าห้ามไม่ให้รัน applet ที่ไม่ถูก sign ตามกระบวนการของออราเคิลแล้ว
ในอนาคต Java applet ที่ไม่ได้ sign ตามกระบวนการที่ถูกต้อง จะรันไม่ได้เลย
จากปัญหา Java ไม่เช็คใบรับรองดิจิทัลที่ถูกเพิกถอนแล้ว ออราเคิลจะปรับปรุงวิธีการตรวจสอบใบรับรองดิจิทัลใหม่ในอนาคต แต่ในระยะสั้นจะปิดฟีเจอร์ด้านการตรวจสอบนี้ทิ้งไปก่อนด้วยเหตุผลด้านประสิทธิภาพ

ที่มา - The Oracle Software Security Assurance Blog

Java, Oracle, Security

LinkedIn เริ่มใช้ระบบล็อกอินสองชั้น Two-Step Verification

mk — Sat, 01 Jun 2013 02:33:28 +0000

LinkedIn เป็นบริการออนไลน์รายล่าสุดที่เริ่มใช้ระบบล็อกอินสองชั้น (two-step verification) เช่นเดียวกับบริการออนไลน์อีกหลายรายที่นำร่องไปก่อนแล้ว

กระบวนการทำงานก็ไม่ต่างจากยี่ห้ออื่นคือยืนยันตัวตนอีกชั้นผ่าน SMS และยังเป็นแค่ทางเลือก (optional) ให้ผู้ใช้เลือกเปิดใช้งานกันเองโดยไม่บังคับ วิธีการเปิดใช้คือเข้าไปยัง Settings > Account > Manage Security ครับ

ที่มา - LinkedIn Blog

Two-step verification on LinkedIn from LinkedIn

LinkedIn, authentication, Security

ไมโครซอฟท์วิเคราะห์ข้อมูล Botnet แบบเรียลไทม์ด้วยพลังแห่งหมู่เมฆ Azure

mk — Fri, 31 May 2013 15:10:17 +0000

ไมโครซอฟท์มีทีม Digital Crimes Unit ที่มีผลงานทลายกลุ่มเซิร์ฟเวอร์ติดโทรจัน (botnet) มาแล้วหลายครั้ง (ข่าวเก่า 1, ข่าวเก่า 2)

ทีมนี้ของไมโครซอฟท์ทำงานร่วมกับ ISP และหน่วยงานด้านความปลอดภัยไซเบอร์ (Computer Emergency Response Teams - CERT) ทั่วโลก มีการแชร์ข้อมูล botnet ระหว่างกันอยู่เสมอ แต่กระบวนการแชร์ข้อมูลยังล้าสมัย (ผ่านอีเมล) แถมการตรวจสอบเซิร์ฟเวอร์จำนวนมหาศาลทั่วโลก (วันละหลายร้อยล้านครั้ง) ก็ไม่ใช่เรื่องง่าย

ไมโครซอฟท์แก้ปัญหาข้างต้นโดยสร้างระบบการวิเคราะห์และแชร์ข้อมูลบนกลุ่มเมฆ (แน่นอนว่าเป็น Azure) ทำให้รองรับโหลดมหาศาลและสามารถวิเคราะห์ botnet ได้แบบ (เกือบ) เรียลไทม์แล้ว ระบบวิเคราะห์ข้อมูลแบบใหม่นี้เรียกว่า Cyber Threat Intelligence Program (C-TIP)

ตอนนี้ C-TIP ถูกใช้งานโดยทีม CERT จากหลายประเทศในยุโรปแล้ว อีกไม่ช้าคงขยายไปยังประเทศอื่นๆ มากขึ้นครับ

ที่มา - Microsoft on Safety and Defense Blog

Windows Azure, Microsoft, Cloud Computing, Botnet, Security

ช่องโหว่ของ Ruby on Rails ถูกใช้เจาะเซิร์ฟเวอร์เป็นวงกว้าง

mk — Fri, 31 May 2013 07:45:54 +0000

ช่องโหว่ของ Ruby on Rails ที่ถูกค้นพบในเดือนมกราคมปีนี้ กลายเป็นช่องทางสำคัญให้แฮ็กเกอร์เจาะเข้าไปยังเซิร์ฟเวอร์ที่ติดตั้ง Rails เอาไว้ และเปลี่ยนเซิร์ฟเวอร์เหล่านี้เป็น botnet สำหรับอาชญากรรมคอมพิวเตอร์ด้านอื่นๆ (เช่น มัลแวร์) ต่อไป

ช่องโหว่ตัวนี้ของ Rails มีความรุนแรงในระดับสูง (critical) เพราะเปิดโอกาสให้แฮ็กเกอร์ส่งโค้ดอันตรายเข้ามารันบนเซิร์ฟเวอร์ได้จากระยะไกล ทางทีมพัฒนา Rails ออกแพตช์แก้นานแล้วแต่ก็ยังมีเซิร์ฟเวอร์อีกจำนวนมากที่ยังไม่ได้อัพแพตช์ตาม และกลายเป็นเหยื่อของช่องโหว่นี้ในที่สุด

ผู้ใช้ Rails ควรอัพเกรดเป็นเวอร์ชัน 3.2.11, 3.1.10, 3.0.19, 2.3.15 ขึ้นไปครับ

ที่มา - Ars Technica

Rails, Botnet, Hacking, Ruby, Security

Evernote เพิ่มระบบล็อกอินสองชั้น Two-Step Verification

mk — Fri, 31 May 2013 01:03:02 +0000

Evernote ถูกแฮ็กครั้งใหญ่ไปเมื่อต้นปี วันนี้บริษัทจึงประกาศฟีเจอร์ด้านความปลอดภัยเพิ่มขึ้นอีก 3 อย่าง

Two-Step Verification ระบบล็อกอินสองชั้นด้วยโค้ดที่ส่งทาง SMS เหมือนกับบริการออนไลน์อื่นๆ ที่ทำกันไปก่อนแล้ว ระบบนี้ยังเป็นตัวเลือกที่ผู้ใช้ต้องเปิดใช้งานเอง ไม่บังคับใช้แต่อย่างใด (เบื้องต้นยังใช้ได้เฉพาะ Evernote Premium/Evernote Business แต่อนาคตจะขยายไปยังผู้ใช้ทุกคน)
Authorized Applications แสดงรายชื่อของแอพที่ขอสิทธิเข้าถึงข้อมูลใน Evernote และสามารถยกเลิกการเข้าถึงได้จากหน้าเว็บ
Access History แสดงประวัติการล็อกอินใช้งาน Evernote เพื่อดูว่ามีใครแปลกปลอมเข้ามาในบัญชีของเราหรือไม่

ที่มา - Evernote Blog

Evernote, authentication, Security