กลุ่มผู้ใช้ Tor รายงานว่ารัฐบาลอิหร่านได้บล็อคทราฟฟิกอินเทอร์เน็ตส่วนที่เป็น HTTPS/SSL ทำให้เว็บไซต์ที่เชื่อมต่อผ่าน HTTPS ไม่สามารถใช้งานได้ ไม่ว่าจะเป็น Google, Yahoo, Facebook อะไรก็ตามที่ผ่าน HTTPS ย่อมโดนบล็อคทั้งหมด

ทางการอิหร่านไม่ได้ให้ข้อมูลใดๆ ในเรื่องนี้ ซึ่งสื่อตะวันตกคาดการณ์ว่าการบล็อค HTTPS ครั้งนี้เป็นการทดลองระบบเซ็นเซอร์อินเทอร์เน็ตของประเทศ (ลักษณะเดียวกับ Great Firewall ของจีน) ที่ทางรัฐบาลเคยประกาศไว้ว่าจะทำ และรอบนี้น่าจะทดสอบบล็อคเป็นการชั่วคราวเท่านั้น

ที่มา - The Register, ReadWriteWeb

ปรกติเมื่อเกิดเหตุการณ์ผิดพลาดกับใบรับรอง SSL ไม่ว่าเกิดจากสาเหตุใด ทางผู้ออกใบรับรอง (Certification Auhtority - CA) จะออกรายการยกเลิกใบรับรอง (Certificates Revocation List - CRL) เพื่อให้เบราเซอร์นำไปตรวจเทียบว่าเจอใบรับรองในรายการหรือไม่ ระบบนี้ใช้กันทั่วไปในทุกๆ ระบบที่ใช้ SSL ไม่จำกัดเฉพาะเบราเซอร์ แต่ปัญหาคือการติดต่อกับ CA บางครั้งอาจจะล้มเหลว ระบบ SSL นั้นออกแบบให้ยอมให้ใช้งานใบรับรองที่ได้รับมาไปก่อนได้แม้จะติดต่อขออัพเดตรายการยกเลิกไม่ได้ ทำให้ผู้โจมตีอาจจะอาศัยกระบวนการเพื่อสกัดไม่ให้เบราเซอร์ติดต่อกับ CA ได้ซึ่งไม่ยากนัก

แม้การหลบเลี่ยงกระบวนการนี้จะทำได้ง่าย แต่ทุกวันนี้ในทุกๆ การเชื่อมต่อจะต้องเสียเวลาเช็คจากเซิร์ฟเวอร์ประมาณ 300ms ทำให้เว็บดู "ช้า" ทาง Chrome จึงตัดสินใจยกเลิกกระบวนการนี้

กระบวนการที่เข้ามาแทนที่คือการอัพเดตรายการยกเลิกผ่านทางอัพเดตของเบราเซอร์โดยตรง เพราะเบราเซอร์ (โดยเฉพาะ Chrome) ก็มีกระบวนการอัพเดตที่ดีและรวดเร็วอยู่แล้ว และตัวโครมเองก็สามารถใช้กระบวนการอัพเดตเบราเซอร์มาอัพเดตรายการยกเลิกใบรับรองโดยไม่ต้องปิดเปิดโปรแกรมใหม่ด้วยซ้ำ

แนวคิดแบบนี้น่าสนใจดีที่ซอฟต์แวร์ที่มีการอัพเดตต่อเนื่องอาจจะพิจารณาใช้กระบวนการอัพเดตเพื่อรักษาความปลอดภัยแทน

ที่มา - ImperialViolet, ArsTechnica

VeriSign บริษัทด้าน DNS, ความปลอดภัยออนไลน์ และใบรับรองดิจิทัลรายใหญ่ของโลก (ปัจจุบันธุรกิจใบรับรองและ SSL ขายให้ Symantec ไปแล้ว) โดนแฮ็กและขโมยข้อมูลมาตั้งแต่ปี 2010

ข้อมูลนี้ถูกเปิดเผยหลังจากคณะกรรมการกำกับหลักทรัพย์ของสหรัฐ (SEC) ออกกฎใหม่ให้บริษัทในตลาดหลักทรัพย์ต้องรายงาน "การโดนเจาะระบบ" ให้นักลงทุนทราบด้วย ซึ่ง VeriSign ยื่นเอกสารนี้ในเดือนตุลาคมปีที่แล้ว และรอยเตอร์เพิ่งค้นพบข้อมูลนี้ในเอกสารกว่า 2,000 ชิ้นที่ SEC นำมาเผยแพร่

ตัวแทนของ VeriSign ยังปฏิเสธที่จะให้ข้อมูลกับผู้สื่อข่าว แต่รอยเตอร์ได้สัมภาษณ์ Ken Silva อดีต CTO (ออกจากบริษัทเมื่อ พ.ย. 2010) ซึ่งเขาระบุว่าไม่ได้รับรายงานเรื่องนี้มาก่อน ส่วนตัวแทนของ Symactec บอกว่าการเจาะระบบครั้งนี้ไม่มีส่วนเกี่ยวข้องกับธุรกิจ SSL ที่ซื้อกิจการมา

เมื่อปีที่แล้ว บริษัทความปลอดภัยออนไลน์ RSA (ในเครือ EMC) ก็เพิ่งโดนแฮ็กระบบ SecurID โลกออนไลน์ชักจะอันตรายขึ้นเรื่อยๆ

ที่มา - รอยเตอร์

DigiCert Sdn. Bhd เป็นหน่วยงานออกใบรับรองแบบตัวกลาง (Intermediate CA) ที่ได้รับการรับรองจาก Entrust และ Verizon มาอีกที แต่หลังจากพบการออกใบรับรองอย่างหละหลวมหลายใบจนมีการนำใบรับรองเหล่านั้นไปโจมตีผู้อื่น ทางมอซซิลล่าและไมโครซอฟท์ก็ประกาศยกเลิกสถานะของ CA นี้

ปัญหาของ DigiCert Sdn. Bhd คือปล่อยให้ใบรับรองที่ใช้คีย์ที่อ่อน (สามารถทำกระบวนการย้อนหาคีย์ลับได้ง่าย) และรับรองให้ใช้งานได้ การปล่อยใบรับรองเช่นนี้ออกมาทำให้ผู้โจมตีสามารถนำใบรับรองเหล่านี้ไปสร้างคีย์ลับแล้วสื่อสารเหมือนตนเองเป็นเจ้าของใบรับรองตัวจริงได้ โดยไม่มีหลักฐานว่า DigiCert Sdn. Bhd ถูกแฮ็กหรือมีการออกใบรับรองผิดแต่อย่างใด ซึ่งต่างจากกรณี DigiNotar ที่ปล่อยให้มีการออกใบรับรองกับผู้โจมตีได้จริงๆ

งานนี้ทาง Entrust ซึ่งเป็น root CA ที่ไปรับรอง DigiCert Sdn. Bhd ก็ประกาศยกเลิกการรับรองแล้ว ตามมาด้วยมอซซิลล่าและไมโครซอฟท์ ส่งผลให้ใบรับรองทั้งหมดกำลังจะใช้งานไม่ได้ ทั้ง Internet Explorer และ Firefox จะขึ้นหน้าเตือนใบรับรองผิดพลาดหากเข้าเว็บเหล่านี้ โดยส่วนมากมักเป็นเว็บของรัฐบาลมาเลเซียเองและใบรับรองภายในหน่วยงานจำนวนหนึ่ง

DigiCert Sdn. Bhd เป็นบริษัทในมาเลเซียที่ไม่มีความเกี่ยวข้องกับ DigiCert ซึ่งเป็น root CA ในสหรัฐฯ แต่อย่างใด

ที่มา - Net Security, Mozilla, Microsoft, Entrust

ก่อนหน้านี้กูเกิลเคยเปิดหน้าค้นหาแบบเข้ารหัสผ่านทาง encrypted.google.com มาก่อนแล้ว แต่หลังจากนี้กูเกิลก็ระบุว่าแผนการคือเว็บค้นหาทั้งหมดสำหรับผู้ใช้ที่ล็อกอินกับ Google Account จะกลายเป็น HTTPS โดยผู้ใช้ไม่ต้องทำอะไรเพิ่มเติม

ผู้ใช้ที่ไม่ได้ล็อกอินสามารถใช้ https://www.google.com เพื่อค้นหาแบบเข้ารหัสได้เช่นกัน หรือหากกลัวลืมก็ควรใช้ SSL enforcer ทั้งหลายเพื่อให้แน่ใจว่าการค้นหาจะเข้ารหัสทุกครั้ง

ที่มา - Google Blog

Wikimedia Foundation องค์กรแม่ของ Wikipedia ประกาศว่าเว็บไซต์ทั้งหมดในเครือ (ได้แก่ Wikipedia, Wiktionary, Wikisource, Wikiquote, etc.) รองรับการเรียกข้อมูลผ่านโพรโตคอล HTTPS แล้ว ช่วยให้ผู้ใช้เว็บไซต์เหล่านี้ปลอดภัยมากขึ้น

ก่อนหน้านี้ Wikimedia Foundation เคยมีเว็บ secure.wikimedia.org ซึ่งมีข้อจำกัดทางเทคนิคหลายประการ ตอนนี้เปลี่ยนมาเป็น URL แบบปกติแต่ใช้ https:// แทน ช่วยให้ระบบความปลอดภัยและการใช้งานสมบูรณ์ขึ้น

ตอนนี้เว็บใหญ่ๆ หลายแห่งของโลกไม่ว่าจะเป็น Google, Facebook, Twitter, Hotmail, Foursquare เปิดใช้ HTTPS กันหมดแล้ว (ติดตามอ่านได้จากข่าวหมวด SSL) อย่าลืมใช้งานเพื่อความปลอดภัยของข้อมูลของท่าน

ที่มา - Wikimedia Blog

ข่าวใบรับรอง SSL ถูกเจาะในรูปแบบต่างๆ นั้นเริ่มเกิดขึ้นบ่อยครั้งในช่วงหลัง เพราะเว็บต่างๆ ก็เริ่มใช้ HTTPS มากขึ้นเรื่อยๆ เช่นกรณีล่าสุดของ DigiNotar ทำให้ EFF (Electronic Frontier Foundation) อัพเดตปลั๊กอิน HTTPS Everywhere สำหรับไฟร์ฟอกซ์ที่แต่เดิมจะทำหน้าที่เลือกบริการเข้ารหัสในกรณีที่เว็บมีบริการทั้งแบบเข้ารหัสและไม่เข้ารหัส มาเป็นการตรวจสอบใบรับรองการเข้ารหัสด้วยว่าปลอดภัยดีหรือไม่

โครงการนี้ต่อยอดมาจากโครงการ EFF SSL Observatory ที่ตั้งข้อสังเกตว่ามีหน่วยงานที่ไม่น่าเชื่อถือจำนวนหนึ่งมีสถานะเป็นหน่วยงานออกใบรับรองได้ และเบราเซอร์หลักๆ ก็เชื่อใบรับรองจากหน่วยงานเหล่านี้อีกด้วย

ฟีเจอร์นี้ต้องเปิดเอง โดยมีเฉพาะรุ่น alpha เท่านั้นทำให้ยังมีคนใช้ฟีเจอร์นี้เพียงประมาณหมื่นคนขณะที่ HTTPS Everywhere นั้นมีคนใช้นับล้าน (ที่มาข่าวใช้คำว่า users แต่เนื่องจาก EFF ไม่ติดตามการใช้งานดังนั้นอาจจะเป็นยอดดาวน์โหลด)

ที่มา - InfoWorld

นักวิจัยด้านความปลอดภัยสองคนคือ Juliano Rizzo และ Thai Duong ได้นำเสนองานวิจัยที่งาน Ekoparty สาธิตความเป็นไปได้ในการเจาะเว็บที่มีการรวมโค้ดจากภายนอกที่ไม่ได้เข้ารหัส SSL แม้ตัวเว็บหลักจะส่งข้อมูลผ่าน SSL ก็ตาม

เทคนิคนี้อาศัยการส่งจาวาสคริปต์ปลอมด้วยการดักกลาง (man in the middle) ระหว่างการโหลดจาวาสคริปต์จากเว็บภายนอกที่ไม่ได้เข้ารหัส ตัวจาวาสริปต์นั้นจะส่งข้อความที่แฮกเกอร์รู้ล่วงหน้า (known text) กลับไปยังเว็บหลัก เมื่อแฮกเกอร์จับข้อความแบบเข้ารหัสแล้วจึงนำมาเข้ากระบวนการย้อนกลับ เพื่อหากุญแจเข้ารหัสของ session นั้นๆ ได้

สำหรับเว็บต่างๆ ทางแก้ทางหนึ่งที่เป็นไปได้คือการเรียกใช้จาวาสคริปต์ภายนอกผ่านทาง SSL ทั้งหมด เช่น Google +1 นั้นสามารถรวมจาวาสคริปต์จาก https://apis.google.com/js/plusone.js ได้แทนที่จะใช้ HTTP ปรกติ

ที่มา - ArsTechnica

หลังจากใบรับรอง SSL ของกูเกิลถูกปลอมได้สำเร็จ บริษัทผู้ออกใบรับรองคือ DigiNotar ก็ถูกสอบสวนอย่างหนักรายงานหลายฉบับแสดงถึงความหละหลวมภายใน (รายงานจากไฟร์ฟอกซ์, รายงานจาก Fox-IT ตัวแทนรัฐบาล) ความน่าเชื่อถือของ DigiNotar ถูกทำลายอย่างรวดเร็วส่งผลให้ลูกค้าโดยเฉพาะรัฐบาลเนเธอร์แลนด์เองต้องประกาศยกเลิกใบรับรองทั้งหมด ธุรกิจที่ถูกทำลายจนไม่เหลือความน่าเชื่อถือเช่นนี้ก็ส่งผลให้ DigiNotar ต้องประกาศล้มละลาย

งานนี้เสียหน้าไปถึงบริษัทแม่ของ DigiNotar คือ VASCO Data Security International ผู้ให้บริการด้านความปลอดภัยข้อมูลและการยืนยันตัวบุคคล โดยผู้บริหารของ VASCO ออกมายืนยันว่าบริษัทไม่ได้รับผลกระทบจากความหละหลวมของ DigiNotar ครั้งนี้ และบริษัทยังสามารถใช้เทคโนโลยีบางส่วนที่ได้มาจาก DigiNotar ได้

VASCO ระบุว่าบริษัทจะไม่เข้าไปทำธุรกิจ CA อีกในเวลาอันใกล้นี้

ที่มา - IT Pro

ปัญหาจาก DigiNotar ดูจะยังไม่จบง่ายๆ เมื่อแฮกเกอร์ที่แฮก Comodo ได้โพสต์ข้อความลง PasteBin ว่าเขาเป็นผู้แฮก DigiNotar เองโดยอาศัยบั๊กที่ยังไม่ได้แพตซ์ (zero day bug) จำนวนมากพร้อมกับประกาศว่าเขายังสามารถเข้าถึง CA อื่นๆ เช่น GlobalSign

ทาง GlobalSign หลังจากได้รับคำเตือนนี้ก็หยุดให้บริการออกใบรับรองทันทีและดำเนินการตรวจสอบภายใน แม้จนตอนนี้ยังไม่มีรายงานว่าพบใบรับรองปลอมจาก GlobalSign ก็ตาม

หลังข่าว DigiNotar ซึ่งเป็น root CA ที่ได้รับการยอมรับในเบราเซอร์ทั้วไปถูกโจมตีจนกระทั่งออกใบรับรองปลอมให้กับแฮกเกอร์ไปได้นั้น รัฐมนตรีกระทรวงมหาดไทยของเนเธอร์แลนด์ก็ออกมาสั่งให้หน่วยงานรองรัฐทั้งหมดยกเลิกใบรับรองที่ได้มาจาก DigiNotar ทั้งหมด และเตรียมการขอใบรับรองใหม่จากบริษัทอื่น

นอกจากนี้ Piet Hein Donner รัฐมนตรีกระทรวงมหาดไทยยังออกมาเตือนประชาชนว่าหากเบราเซอร์ขึ้นคำเตือนว่าเว็บไซต์อาจจะไม่ปลอดภัย ประชาชนก็ไม่ควรเข้าใช้งานเว็บไซต์นั้นๆ

เนื่องจากวันนี้มีข่าวกูเกิลถูกโจมตี เลยอยากพูดถึงความเปลี่ยนแปลงด้านความปลอดภัยหลายๆ เรื่องพร้อมๆ กันในข่าวเดียวเนื่องจากค่อนข้างเกี่ยวเนื่องกัน

เริ่มจากทางกูเกิลได้อัพเดตเรื่องนี้ว่าบริษัทได้รับรายงานว่ามีความพยายามจะโจมตีแบบ man-in-the-middle (MITM) บ้างแล้ว โดยเป้าหมายหลักคือกลุ่มผู้ใช้ในอิหร่าน อย่างไรก็ดีกูเกิลยืนยันว่าผู้ใช้ Chrome นั้นปลอดภัยจากการโจมตีครั้งนี้ และฝั่งไฟร์ฟอกซ์เองก็รีบออกอัพเดตเพื่อลดผลกระทบของการโจมตี พร้อมกับออกคำแนะนำสำหรับการยกเลิกใบรับรองของ DigiNotar ในกรณีที่ไม่ต้องการอัพเดต

แฮกเกอร์สามารถขอใบรับรอง SSL จากผู้ให้บริการรับรองในเนเธอร์แลนด์ที่ชื่อว่า DigiNotar ให้กับโดเมน *.google.com เป็นผลสำเร็จ ทำให้แฮกเกอร์ที่ถือใบรับรองนี้สามารถปลอมตัวเป็นกูเกิลและดักฟังหรือดัดแปลงข้อมูลได้โดยเบราเซอร์ไม่มีคำเตือนใดๆ

ยังไม่มีข้อมูลจากทาง DigiNator ว่าการออกใบรับรองอย่างไม่ถูกต้องนี้เป็นความผิดพลาดของการยืนยันเจ้าของโดเมน หรือแฮกเกอร์แฮกเอาจากระบบออกใบรับรองโดยตรง รวมถึงไม่มีการยืนยันว่ามีโดเมนอื่นๆ ที่ถูกปลอมใบรับรองแบบเดียวกันหรือไม่

ใบรับรองถูกโพสไว้ที่ Pastebin.com และภายในไม่กี่วันนี้ระบบปฎิบัติการต่างๆ น่าจะออกอัพเดตออกมาเมื่อยกเลิกใบรับรองเหล่านี้ ดังนั้นควรรีบอัพเดตเพื่อความปลอดภัย

ที่มา - Computer World

HTTPS Everywhere เป็นส่วนเสริมของ Firefox ที่ช่วยให้เราเข้าเว็บผ่านโพรโตคอลเข้ารหัส HTTPS เพื่อความปลอดภัยที่ดีขึ้น ส่วนเสริมนี้ออกมาตั้งแต่ปีที่แล้ว (ข่าวเก่า)

โครงการ HTTPS Everywhere เป็นความร่วมมือของมูลนิธิ Electronic Frontier Foundation กับ Tor Project และมันเดินทางมาถึงรุ่น 1.0 แล้ว

การเปลี่ยนแปลงที่สำคัญในรุ่น 1.0 คือรองรับเว็บไซต์เพิ่มขึ้นอีกมาก (ตัวเลขของ EFF บอกว่ามากกว่า 1,000 เว็บไซต์) ผู้ที่ใช้ Firefox สามารถติดตั้งได้จากลิงก์แรกสุดของข่าวครับ

ที่มา - EFF

Chet Wisniewski นักวิจัยด้านความปลอดภัยจากบริษัท Sophos ออกเตือนผู้ใช้อุปกรณ์ iOS ให้รีบอัพเกรด iOS ไปยังรุ่นล่าสุดเนื่องจากมันได้รับการแก้บั๊ก SSL ทำให้ผู้ใช้ปลอดภัยจากการถูกดักฟังข้อมูลที่เข้ารหัส

บั๊กรูปแบบเดียวกันนี้ถูกค้นพบตั้งแต่ปี 2002 ในวินโดวส์โดย Moxie Marlinspike ปัญหาอยู่ที่ตัวอ่านใบรับรอง SSL ผิดพลาดในการตรวจสอบเงื่อนไงบางอย่างทำให้ผู้โจมตีสามารถปลอมใบรับรอง SSL สำหรับโดเมนใดๆ ก็ได้

แอปเปิลระบุว่านักวิจัยสองคนคือ Paul Kehrer จาก Trustwave และ Gregor Kopf จาก Recurity Lab เป็นคนรายงานข้อผิดพลาดดังกล่าว

SSL เป็นระบบการเข้ารหัสที่ใช้สำหรับการเข้ารหัสเว็บ และการเชื่อมต่อแบบเข้ารหัสส่วนใหญ่ ซอฟต์แวร์ธนาคารออนไลน์, PayPal, อีเมล, หรือเว็บเครือข่ายสังคมต่างๆ ล้วนรักษาความปลอดภัยด้วย SSL ทั้งสิ้น

ว่าแต่รุ่นใหม่มันเจลเบรกได้รึยัง?

ที่มา - ComputerWorld