Tags:
Node Thumbnail

Qualys ผู้ให้บริการ SSL Labs เปิดซอร์สโค้ดของโปรแกรม ssllabs-scan เพื่อให้ผู้ดูแลระบบสามารถเข้าถึง API ของ SSL Labs ได้ผ่าน command-line ทำให้ตั้งช่วงเวลาให้ตรวจสอบเซิร์ฟเวอร์เป็นระยะ และรายงานผลเป็นไฟล์ JSON ได้

ก่อนหน้านี้ Qualys เปิดหน้าเว็บ SSL Pulse แล้วตั้งการสแกนเว็บไซต์ประมาณ 200,000 เว็บแรกบนรายการ Alexa เพื่อรายงานสถานการณ์การคอนฟิก SSL อย่างถูกต้อง รายงานฉบับล่าสุดของเดือนนี้มีเว็บไซต์ที่คอนฟิกอย่างปลอดภัย (เกรด A- ขึ้นไป) อยู่ที่ 18.2% เท่านั้น

Tags:
Node Thumbnail

OpenSSL ประกาศบั๊กตามที่แจ้งไว้ล่วงหน้า แก้บั๊กความร้ายแรงสูงสองตัว ได้แก่ บั๊ก FREAK ที่เป็นข่าวไปเมื่อต้นเดือนที่ผ่านมา และบั๊กใหม่ที่ทำให้เซิร์ฟเวอร์ล่มได้จากการเชื่อมต่อจากภายนอก

Tags:
Node Thumbnail

live.fi เว็บหนึ่งของไมโครซอฟท์ถูกจดทะเบียนขอใบรับรอง SSL จากทาง Comodo ผู้ให้บริการรับรองเว็บรายใหญ่ ตอนนี้ทางไมโครซอฟท์รับทราบปัญหานี้แล้วและกำลังออกอัพเดตเพื่อบล็อคใบรับรองนี้อยู่ ทางฝั่ง Comodo เองประกาศยกเลิกใบรับรองนี้แล้ว

สำหรับ Windows 8, Windows Server 2012, และ Windows Phone 8 กระบวนการอัพเดตจะทำโดยอัตโนมัติ (ถ้าไม่ได้ไปปิดไว้) แต่สำหรับ Windows 7 และ Windows Server 2008 ต้องดาวน์โหลดตัวอัพเดตใบรับรองมาติดตั้งเองก่อน

Tags:

The Pirate Bay (TPB) เว็บรวบรวม magnet link ขนาดใหญ่ถูกบุกยึดเซิร์ฟเวอร์และถูกบล็อคไปหลายครั้งในหลายประเทศแต่ก็กลับมาเปิดได้เรื่อยๆ ล่าสุดทาง TPB ก็ปรับใช้ให้บริการผ่าน CloudFlare และเปิดบริการ HTTPS เข้ารหัสการเชื่อมต่อทั้งหมดเป็นมาตรฐานแล้ว

ผู้ให้บริการอินเทอร์เน็ตในสหราชอาณาจักรที่ก่อนหน้านี้เคยบล็อค TPB ตอนนี้ก็กลับเข้าได้ทั้งหมด ที่ยืนยันแล้ว เช่น Virgin Media, TalkTak,BT, BT, และ EE ยกเว้นเพียง Sky ที่ยังสามารถบล็อคได้อยู่

Virgin Media ระบุว่าได้ทำตามคำสั่งศาลให้บล็อคแล้ว แต่ไม่ได้ให้ข้อมูลเพิ่มเติมว่าคำสั่งนั้นระบุเป็นไอพีเท่านั้นหรืออย่างไร

Tags:
Node Thumbnail

หนึ่งในจุดขายผลิตภัณฑ์ของ BlackBerry ตลอดมาอย่างหนึ่งคือเรื่องของความปลอดภัยในการสื่อสาร แต่ทว่าอาจจะเป็นเพียงแค่ความเชื่อเท่านั้น เมื่อ BlackBerry ออกมาประกาศว่า ผลิตภัณฑ์ของตัวเองได้รับผลกระทบจากช่องโหว่ FREAK ด้วยเช่นเดียวกัน

Tags:
Node Thumbnail

จากข่าว ไมโครซอฟท์ยอมรับ ช่องโหว่ FREAK มีผลกับวินโดวส์ด้วย กระทบวินโดวส์ทุกรุ่น วันนี้แพตช์มาแล้วครับ

แพตช์ตัวนี้หมายเลข MS15-018 ชื่อที่แสดงให้ผู้ใช้เห็นคือ Cumulative Security Update for Internet Explorer (3032359) ความรุนแรงระดับ critical ครอบคลุม IE ทุกรุ่นตั้งแต่ IE6-IE11

Tags:
Node Thumbnail

หลังบั๊ก Heartbleed ที่ส่งผลกระทบเป็นวงกว้างต่อเซิร์ฟเวอร์จำนวนมากในเดือนเมษายนปีที่แล้ว บริษัทจำนวนมากระดมทุนเพื่อให้ OpenSSL มีทรัพยากรเพียงพอต่อการพัฒนา อีกส่วนหนึ่งก็จัดสรรมาให้โครงการ Open Crypto Audit เพื่อตรวจสอบโค้ดซอฟต์แวร์เข้ารหัส ตอนนี้ทาง OpenSSL และ Cryptography Services (CS) ผู้เข้าตรวจสอบก็พร้อมจะเริ่มกระบวนการตรวจสอบแล้ว

Tags:
Node Thumbnail

เมื่อวานนี้เพิ่งมีข่าวช่องโหว่ FREAK ที่ค้นพบบนไลบรารี OpenSSL ซึ่งส่งผลกระทบต่อเซิร์ฟเวอร์และระบบปฏิบัติการฝั่งยูนิกซ์ แต่ล่าสุดไมโครซอฟท์ออกมายอมรับแล้วว่าระบบปฏิบัติการวินโดวส์ทุกรุ่นก็มีช่องโหว่ลักษณะนี้เช่นกัน

อย่างไรก็ตาม ช่องโหว่นี้จะใช้งานได้ต่อเมื่อวินโดวส์เปิดใช้งานฟีเจอร์ RSA key exchange export ciphers ซึ่งปิดมาเป็นค่าดีฟอลต์ ไมโครซอฟท์แนะนำให้แอดมินระบบตรวจเช็คค่านี้ และสั่งปิดได้จากโปรแกรม Group Policy Object Editor (ใช้ได้เฉพาะ Windows Vista เป็นต้นไป, Windows Server 2003 ทำไม่ได้) ส่วนในระยะยาว ไมโครซอฟท์กำลังตรวจสอบรายละเอียดและอาจออกแพตช์ตามมา

Tags:
Node Thumbnail

French Institute for Research in Computer Science and Automation (Inria) และ Microsoft ค้นพบช่องโหว่ของ SSL/TLS ที่เกิดขึ้นมาเป็นเวลานับ 10 ปี พบในไลบรารี OpenSSL เวอร์ชัน 1.01k หรือเก่ากว่า และ Secure Transport ของ Apple กระทบทั้งผู้ใช้ Apple และ Android หลายล้านคน รวมถึงเว็บไซต์ทางการของทำเนียบขาว, FBI หรือแม้แต่ NSA

Tags:
Node Thumbnail

กระบวนการรักษาความปลอดภัยเว็บในช่วงหลังๆ เราเห็นผลงานของฝั่งเบราว์เซอร์กันค่อนข้างชัดเจนจากการออกมาตรฐานใหม่ๆ มากมายและร่วมกันรองรับมาตรฐานในเวลาใกล้เคียงกัน แต่ฝั่งผู้รับรองหรือ Certification Authorities (CAs) เองก็เริ่มรายงานความคืบหน้าฝั่งตัวเองออกมากันแล้ว ผ่านทางกลุ่มของ CAs ออกมาจากกลุ่ม Certificate Authority Security Council (CASC) ที่ก่อตั้งเมื่อปี 2013

Tags:
Node Thumbnail

กระบวนการเข้ารหัสเว็บก่อนหน้านี้เราได้ยินกันบ่อยๆ เช่น RC4 ถูกเตือนว่าไม่ปลอดภัยมาเป็นเวลานาน ทำให้เว็บส่วนใหญ่เน้นใช้งาน AES ที่เป็นมาตรฐานกว่า แต่ AES เองก็มีปัญหากินซีพียูสูง ทำให้ไม่เหมาะกับการใช้งานบนโทรศัพท์มือถือที่ซีพียูประสิทธิภาพไม่ดีนัก ทาง CloudFlare ก็ออกมาประกาศชุดเข้ารหัสทางเลือก คือ ChaCha20/Poly1305 ที่ให้ความปลอดภัยที่ดี ยังไม่พบช่องโหว่ร้ายแรง และกินพลังประมวลผลต่ำ

Tags:
Node Thumbnail

ช่องโหว่ของ Superfish นอกจากประเด็นการดักฟังแล้ว ยังมีปัญหาการใช้กุญแจ CA เหมือนกันทุกเครื่องและระบบตรวจสอบใบรับรองมีบั๊กทำให้เซิร์ฟเวอร์ภายนอกหลอกได้โดยง่าย ตอนนี้บั๊กคล้ายกันถูกพบใน PrivDog ซอฟต์แวร์สแกนความปลอดภัยเว็บจาก Comodo

PrivDog จะสร้าง CA ใหม่ทุกครั้งที่ติดตั้งและจะดักฟังแบบเดียวกับ Superfish จากนั้นจึงแทนที่โฆษณาบนเว็บด้วยโฆษณาจากบริษัทโฆษณาที่ชื่อว่า Adtrustmedia

แม้จะสร้าง CA ขึ้นใหม่ในทุกเครื่องแต่ PrivDog รุ่น 3.0.96.0 และ 3.0.97.0 กลับไม่ตรวจสอบใบรับรองแบบ self-signed ทำให้เซิร์ฟเวอร์ที่มุ่งร้ายสามารถปลอมเว็บได้โดยที่เบราว์เซอร์ไม่รับรู้ด้วย

Tags:
Node Thumbnail

หลังจากที่เว็บโซเชียลเน็ตเวิร์ค เช่นเฟซบุ๊ก, ทวิตเตอร์ และยูทูบ ต่างรองรับ HTTPS กันมานานพอสมควร วันนี้ Instagram เริ่มใช้ HTTPS กับเว็บของตัวเองแล้ว จากที่ก่อนหน้านี้ไม่ว่าเมื่อผู้ใช้เข้าเว็บไซต์ Instagram ดูรูปที่ถูกโพสต์, ดูหน้าฟีดของตนเอง หรือแม้กระทั่งหน้าล็อกอินเข้าสู่ระบบ ล้วนอยู่ใน HTTP ที่ไม่เข้ารหัส ซึ่งอาจจะสร้างความเสี่ยงในการถูกดักข้อมูลของผู้ใช้งานได้

โดยเมื่อผู้ใช้เข้าเว็บ Instagram จะถูกบังคับใช้ HTTPS ทันทีรวมไปถึง URL ของโพสต์ต่างๆด้วย แต่ใบรับรองที่ใช้ยังเป็น SHA-1 ซึ่งมีข่าวว่าเริ่มไม่ปลอดภัยแล้ว ส่วน URL ที่เก็บไฟล์รูปและวิดีโอที่ผู้ใช้โพสต์ ยังไม่ถูกบังคับใช้ HTTPS แต่อย่างใด

Tags:
Node Thumbnail

หลังรายงานโปรแกรมโฆษณา Superfish ถูกติดตั้งมากับโน้ตบุ๊กเลอโนโวหลายรุ่น โดย Superfish จะคั่นกลางเว็บทุกเว็บแม้แต่เว็บที่เข้ารหัส และแทรกโฆษณาเข้าไปในหน้าเว็บเหล่านั้น ตอนนี้ทุกเครื่องที่มี Superfish อยู่ในเครื่องเสี่ยงต่อการถูกดักฟังทั้งหมด

สาเหตุเพราะตัว Superfish ทำตัวเองเป็นพรอกซี่คั่นกลางแบบเดียวกับ mitmproxy และกระบวนการติดตั้งจะใส่ไฟล์ CA ของ Superfish ลงไปในวินโดวส์ แต่กุญแจของ CA นี้ก็อยู่ในไฟล์ exe ของ Superfish นั่นเองเพราะตัวโปรแกรมทำหน้าที่คั่นกลางเว็บที่ผู้ใช้เปิดขึ้นมา

Tags:
Node Thumbnail

Venefi และ DigiCert บริษัทให้บริการรับรองตัวตน (Certification Authority - CA) ประกาศเข้าร่วมกับโครงการ Certificate Transparency ที่ก่อตั้งโดยกูเกิล ที่ชักชวนให้ CA ทั้งหลายเปิดเผยข้อมูลการออกใบรับรองสู่สาธารณะ

ทาง DigiCert ระบุว่าจะเปิดเผยเฉพาะใบรับรองระดับ EV (Extended Validation ที่มีชื่อบริษัทอยู่ในช่อง URL) แต่ไม่รวมถึงใบรับรองทั่วไป ส่วน Venafi ไม่ได้ระบุว่าจะเปิดเผยข้อมูลมากแค่ไหน

Tags:
Node Thumbnail

หมายเหตุ บทความนี้ไม่เกี่ยวกับข่าว "กระทรวงไอซีทีพยายามตรวจสอบและปิดกั้นเว็บเข้ารหัส ทดสอบที่เกตเวย์" แต่อย่างใด

เว็บและบริการคอมพิวเตอร์ยุคใหม่ส่วนมากมักเข้ารหัสอย่างแน่นหนาขึ้นเรื่อยๆ ในช่วงเวลาไม่กี่ปีที่ผ่านมา กระบวนการเข้ารหัสเหล่านี้คุ้มครองความเป็นส่วนตัวและความปลอดภัยของผู้ใช้ได้เป็นอย่างดี แต่แน่นอน หากวันดีคืนดีเราเป็นเจ้าของบ้านที่ควบคุมเกตเวย์อินเทอร์เน็ต "ที่บ้าน" ได้โดยไม่มีการตรวจสอบ ไม่มีการถ่วงดุล สามารถทำอะไรได้ตามใจชอบ เราอาจจะเริ่มสงสัยว่าจริงๆ แล้วเราอยากส่องข้อความที่ทุกคนส่งเข้าออกจากบ้านของเราแม้จะเข้ารหัสได้หรือไม่

Tags:
Node Thumbnail

จากกรณี POODLE ช่องโหว่ร้ายแรงใน SSL 3.0 เบราว์เซอร์หลายยี่ห้อเริ่มอัพเดตปิดการใช้งาน SSL 3.0 กันบ้างแล้ว ความเคลื่อนไหวล่าสุดมาจากทีม IE ครับ

ไมโครซอฟท์เคยประกาศว่าจะปิด SSL 3.0 บน IE ในเดือนกุมภาพันธ์ 2015 แต่ระหว่างนี้ไมโครซอฟท์ออกแพตช์แก้ IE11 ให้สามารถเลือกปิดการทำงานของโหมด SSL 3.0 fallback (กลับไปใช้ SSL 3.0 อัตโนมัติ หากเว็บไซต์ไม่มีการเชื่อมต่อที่ใหม่กว่าอย่าง TLS) ได้เองก่อน

แพตช์ตัวนี้หมายเลข KB3008923 ออกแล้ว (ชื่อเต็มคือ December 2014 Internet Explorer Cumulative Update) หน่วยงานไหนที่ใช้ IE กับเว็บไซต์ในองค์กรที่อาจมีปัญหา SSL เก่าเกินไปก็สามารถอัพเดตแพตช์เพื่อไปทดสอบกันได้เลย

Tags:
Node Thumbnail

ช่องโหว่ POODLE ที่ได้รับการเปิดเผยเมื่อเดือนตุลาคมที่ผ่านมา ดูเหมือนจะกระทบการใช้งานมากกว่าที่คิดครับ จากที่ก่อนหน้านี้พบว่าช่องโหว่ดังกล่าวกระทบเพียง SSL 3.0 เท่านั้น แต่ล่าสุดมีนักวิจัยด้านความปลอดภัยพบโอกาสที่จะเกิดช่องโหว่เดียวกันนี้บน TLS 1.0 แล้วครับ

Tags:
Node Thumbnail

ในรอบปีที่ผ่านมาเราพบกับปัญหาความปลอดภัย และช่องโหว่ของระบบเข้ารหัสแบบ SSL จำนวนมาก อีกทั้งยังทั่วถึงกันแทบจะทุกระบบปฏิบัติการที่มีใช้งานกันอยู่ (Windows, iOS+OSX, SSLv3 ทุก OS, Heartbleed ใน OpenSSL) ทั้งที่ส่งผลโดยตรงต่อผู้ใช้ และส่งผลโดยตรงต่อผู้ดูแลระบบ ไม่นับปัญหาที่ “อาจ” มีผลกระทบต่อผู้ใช้งานจำนวนมาก และเมื่อการทำธุรกรรมทางการเงินผ่านอินเทอร์เน็ตได้รับความนิยมมากขึ้นเรื่อยๆ เราจึงควรทราบข้อมูลทางด้านความปลอดภัยของเว็บไซต์ระบบธนาคารออนไลน์ต่างๆ ที่เปิดให้ใช้งานอยู่ในประเทศไทยไว้บ้างคร

Tags:
Node Thumbnail

ปัญหาการเข้ารหัสเว็บทุกวันนี้ถูกแก้ไปหลายอย่าง เซิร์ฟเวอร์รุ่นใหม่ๆ รองรับการเข้ารหัสได้โดยไม่เพิ่มโหลดมากเกินไป แต่เว็บจำนวนมากก็ยังไม่เข้ารหัสเพราะการขอใบรับรองดิจิตอลมีค่าใช้จ่าย ปีหน้าโครงการ Let's Encrypt เตรียมแก้ปัญหานี้ด้วยการเปิดหน่วยงานออกใบรับรองที่แจกใบรับรองดิจิตอลฟรี

โครงการนี้เกิดจากความร่วมมือของ มอซิลล่า, ซิสโก้, Akamai, EFF, และกลุ่มนักวิจัย Internet Security Research Group (ISRG) ตัวโครงการจะดูแลโดย ISRG ที่เป็นองค์กรไม่แสวงหากำไรตามกฎหมายอยู่แล้ว

Let's Encrypt จะเป็นหน่วยงานออกใบรับรอง (Certification Authority - CA) ที่แจกใบรับรองฟรีหลังการตรวจสอบความเป็นเจ้าของโดเมนด้วยระบบอัตโนมัติ รายการใบรับรองทั้งหมดที่แจกออกไปจะเปิดเผยสู่สาธารณะ

Tags:
Node Thumbnail

Eitan Konigsburg วิศวกรซอฟต์แวร์ของ New York Times ออกมาเขียนบล็อกถึงประเด็นความเป็นส่วนตัวของผู้อ่านว่ามีความสำคัญมากขึ้นเรื่อยๆ จากการโจมตีรูปแบบต่างๆ ตั้งแต่การติดตามผู้ใช้ทำให้เสียความเป็นส่วนตัว ไปจนถึงการเปลี่ยนข้อมูลบนเว็บข่าว นอกจากนี้อุปสรรคที่เคยทำให้การวางเซิร์ฟเวอร์ที่เป็น HTTPS ก็เริ่มลดลงไป ทาง New York Times จึงชวนให้สำนักข่าวและทุกเว็บไซต์หันมาให้บริการบน HTTPS เต็มรูปแบบภายในปี 2015 หากใครรับคำท้าก็ให้ทวีตใส่แฮชแท็ก #https2015

คำท้าทายนี้ระบุว่าเว็บที่เข้าร่วมจะต้องย้ายไป HTTPS ทั้งหมด นับตั้งแต่ตัวเว็บเอง ไปจนถึงไฟล์จาวาสคริปต์ และโฆษณาทั้งหมด

Tags:
Node Thumbnail

กูเกิลประกาศค้นพบบั๊กร้ายแรงในสเปกของโพรโทคอล SSL เวอร์ชัน 3.0 ที่ส่งผลให้การเชื่อมต่อ SSL อาจถูกเจาะและไม่ปลอดภัยอย่างที่แล้วๆ มา โดยกูเกิลให้ชื่อบั๊กนี้ว่า POODLE

SSL หรือ Secure Socket Layer เป็นโพรโทคอลความปลอดภัยที่ถูกสร้างโดย Netscape ในปี 1995 และ SSL 3.0 เป็นมาตรฐานเก่าที่ออกตั้งแต่ปี 1996 (เกือบ 20 ปีแล้ว) หลังจากนั้นมาตรฐานถูกเปลี่ยนชื่อเป็น TLS (Transport Layer Security) เวอร์ชันล่าสุดคือ 1.2 ออกเมื่อปี 2008 อย่างไรก็ตาม คนทั่วไปยังนิยมเรียกกันติดปากกว่า SSL อยู่ (และหลายคนเข้าใจผิดว่า SSL 3.0 ใหม่กว่า TLS 1.2)

Tags:
Node Thumbnail

CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) เปิดให้บริการแบบเข้ารหัสโดยที่ลูกค้าไม่ต้องส่งกุญแจ SSL ไปให้ทาง CloudFlare เรียกว่า Keyless SSL

แต่เดิมบริการ CDN ที่จะเข้ารหัส ลูกค้าจะต้องส่งทั้งกุญแจและใบรับรองไปให้บริการ CDN ทั้งคู่ บริการใหม่ของ CloudFlare จะทำให้ลูกค้าสามารถส่งเฉพาะใบรับรอง SSL ไปยัง CloudFlare และเมื่อเบราว์เซอร์เชื่อมต่อเข้าไปยัง CloudFlare ทาง CloudFlare จะขอให้เซิร์ฟเวอร์ของลูกค้าถอดรหัสเพื่อเอากุญแจแบบสมมาตรออกมาให้เป็นครั้งๆ ไปไป จากนั้นทาง CloudFlare จึงส่งข้อมูลไปยังเบราว์เซอร์ด้วยกุญแจแบบสมมาตรที่ได้จากเซิร์ฟเวอร์ของลูกค้า

Tags:
Node Thumbnail

เมื่อไม่กี่วันที่ผ่านมา วงการเว็บโดยเฉพาะผู้ที่ทำเว็บแบบเข้ารหัส HTTPS ทั้งหลายอาจจะได้อ่านข่าวเล็กๆ ข่าวหนึ่ง คือ Chrome กำลังจะประกาศว่าใบรับรองดิจิตอลที่ยืนยันความถูกต้องด้วย SHA-1 จะถือว่าไม่ปลอดภัยอีกต่อไป ความโหดร้ายของกูเกิลคือทางกูเกิลประกาศมาโดยให้เวลาเพียงไม่กี่วันก่อนที่จะเริ่มบังคับใช้กฎใหม่นี้ ดังนั้นภายในสิ้นเดือนนี้เราอาจจะพบว่าเว็บที่เข้ารหัสได้รับผลกระทบกันเป็นวงกว้าง

บทความนี้เขียนขึ้นเพื่อแบ่งปัน "ผู้ดูแลระบบ" ทุกท่านที่ต้องดูแลเว็บที่เข้ารหัสอยู่ ว่าทำไมท่านนั่งอยู่ดีๆ ถึงได้งานเข้า (เหมือนทีมงาน Blognone ที่นั่งแก้ใบรับรองกันในวันนี้)

Tags:
Node Thumbnail

ส่วนประกอบของใบรับรอง SSL มีสองส่วนสำคัญได้แก่ กุญแจสาธารณะ และลายเซ็นดิจิตอล โดยลายเซ็นดิจิตอลที่ได้รับความนิยมกันมากคือการใช้ค่าแฮช SHA-1 มาเข้ารหัสด้วยกุญแจ RSA ของหน่วยงานที่รับรองใบรับรองนั้นๆ ที่ผ่านมา SHA-1 เริ่มมีงานวิจัยแสดงว่ามันอ่อนแอกว่าที่ออกแบบไว้ ตอนนี้ทางกูเกิลประกาศแล้วว่าจะเริ่มถือว่าใบรับรองที่ใช้ SHA-1 ไม่ปลอดภัยตั้งแต่ปี 2015 เป็นต้นไป

กูเกิลระบุแผนบันไดสามขั้นเพื่อกดดันให้เว็บที่เข้ารหัสเปลี่ยนใบรับรองเป็นใบรับรองใหม่ที่ใช้ลายเซ็นดิจิตอลที่หนาแน่นกว่าเดิม

Pages