Tags:
Node Thumbnail

Johnathan Nightingale ผู้บริหารระดับสูงของ Mozilla ให้ข้อมูลทางอีเมลกับ InfoWorld ว่าจะเริ่มทดสอบการเข้ารหัส SSL/HTTPS สำหรับการค้นกูเกิลจากช่องค้นหาของ Firefox Nightly ในเร็วๆ นี้

ถ้าทาง Mozilla ไม่พบปัญหาอะไร ฟีเจอร์นี้จะถูกผนวกเข้ามาใน Aurora และ Beta ตามมา ก่อนจะเข้ามายัง Firefox รุ่นหลัก โดยเริ่มจากภาษาอังกฤษก่อน

เหตุผลของ Mozilla คือประเด็นด้านความปลอดภัยและความเป็นส่วนตัวของผู้ใช้ ซึ่งจริงๆ แล้วทาง Mozilla อยากเปิดฟีเจอร์นี้มานานแล้ว แต่ในช่วงแรก กูเกิลยังไม่พร้อมรับทราฟฟิก HTTPS จากผู้ใช้ Firefox

ถ้า Firefox เปิดใช้ฟีเจอร์นี้เป็น default ก็จะกลายเป็นเบราว์เซอร์ตัวแรกที่ใช้ฟีเจอร์นี้ โดยตอนนี้ Chrome ยังเปิดใช้เฉพาะผู้ใช้ที่ล็อกอินผ่านตัวเบราว์เซอร์เท่านั้น

Tags:
Node Thumbnail

ข่าวนี้ออกจะยากสักหน่อย แต่เป็นสำหรับผู้ที่ต้องระวังเรื่องความปลอดภัยข้อมูลมากๆ คือเมื่อเดือนที่ผ่านมา มีการตีพิมพ์งานวิจัยว่าในอินเทอร์เน็ตนั้น ใบรับรอง SSL จำนวนหนึ่งประมาณ 2 ใบในทุกๆ 1,000 ใบสามารถถูกเจาะได้โดยง่าย โดยมีสาเหตุมาจากตัวสุ่มเลขหลายๆ ครั้งมีความสามารถในการสุ่มไม่เพียงพอ ทำให้เกิดการใช้จำนวนเฉพาะ (prime number) ที่ซ้ำกันในใบรับรองหลายใบ ทำให้การแฮกข้อมูลที่เข้ารหัสด้วยใบรับรองเหล่านี้ทำได้ง่ายมาก

Tags:
Node Thumbnail

หลังจากครั้งล่าสุดที่อิหร่านบล็อค HTTPS ทั้งประเทศ เมื่อวันที่ 12/02/12 พอวันนี้ 21/02/12 ก็เกิดการบล็อคอินเทอร์เน็ตขึ้นอีกครั้ง โดยคราวนี้แม้แต่ VPN ก็โดนไปกับเขาด้วยครับ

Tags:
Node Thumbnail

หลังจากทวิตเตอร์และเฟชบุ๊กล้วนมีตัวเลือกให้เปิด HTTPS ตลอดการใช้งานได้ ตอนนี้ทางฝั่งทวิตเตอร์ก็เปิดตัวเลือกนี้ให้กับผู้ใช้ทุกคนแล้ว โดยหลังจากนี้ทุกคนที่ต้องการเชื่อมต่อแบบไม่เข้ารหัสจะต้องปิดตัวเลือกนี้ด้วยตัวเอง

แนวทางนี้เป็นแนวทางเดียวกับจีเมลที่ค่อยๆ ปรับมาใช้ HTTPS ในแบบเดียวกัน

ด้วยแนวทางนี้รัฐบาลหลายๆ ประเทศคงมีปัญหากับการตรวจจับข้อความในทวิตเตอร์ตามมาเช่นเดียวกับบริการที่เข้ารหัสตลอดเวลาอื่นๆ เราคงต้องรอดูกันว่าแนวทางการเปิดให้รัฐบาลต่างๆ เข้าถึงข้อมูลที่เข้ารหัสเหล่านี้จะเป็นอย่างไร

ที่มา - Twitter

Tags:
Node Thumbnail

กลุ่มผู้ใช้ Tor รายงานว่ารัฐบาลอิหร่านได้บล็อคทราฟฟิกอินเทอร์เน็ตส่วนที่เป็น HTTPS/SSL ทำให้เว็บไซต์ที่เชื่อมต่อผ่าน HTTPS ไม่สามารถใช้งานได้ ไม่ว่าจะเป็น Google, Yahoo, Facebook อะไรก็ตามที่ผ่าน HTTPS ย่อมโดนบล็อคทั้งหมด

ทางการอิหร่านไม่ได้ให้ข้อมูลใดๆ ในเรื่องนี้ ซึ่งสื่อตะวันตกคาดการณ์ว่าการบล็อค HTTPS ครั้งนี้เป็นการทดลองระบบเซ็นเซอร์อินเทอร์เน็ตของประเทศ (ลักษณะเดียวกับ Great Firewall ของจีน) ที่ทางรัฐบาลเคยประกาศไว้ว่าจะทำ และรอบนี้น่าจะทดสอบบล็อคเป็นการชั่วคราวเท่านั้น

Tags:
Node Thumbnail

ปรกติเมื่อเกิดเหตุการณ์ผิดพลาดกับใบรับรอง SSL ไม่ว่าเกิดจากสาเหตุใด ทางผู้ออกใบรับรอง (Certification Auhtority - CA) จะออกรายการยกเลิกใบรับรอง (Certificates Revocation List - CRL) เพื่อให้เบราเซอร์นำไปตรวจเทียบว่าเจอใบรับรองในรายการหรือไม่ ระบบนี้ใช้กันทั่วไปในทุกๆ ระบบที่ใช้ SSL ไม่จำกัดเฉพาะเบราเซอร์ แต่ปัญหาคือการติดต่อกับ CA บางครั้งอาจจะล้มเหลว ระบบ SSL นั้นออกแบบให้ยอมให้ใช้งานใบรับรองที่ได้รับมาไปก่อนได้แม้จะติดต่อขออัพเดตรายการยกเลิกไม่ได้ ทำให้ผู้โจมตีอาจจะอาศัยกระบวนการเพื่อสกัดไม่ให้เบราเซอร์ติดต่อกับ CA ได้ซึ่งไม่ยากนัก

Tags:
Node Thumbnail

VeriSign บริษัทด้าน DNS, ความปลอดภัยออนไลน์ และใบรับรองดิจิทัลรายใหญ่ของโลก (ปัจจุบันธุรกิจใบรับรองและ SSL ขายให้ Symantec ไปแล้ว) โดนแฮ็กและขโมยข้อมูลมาตั้งแต่ปี 2010

ข้อมูลนี้ถูกเปิดเผยหลังจากคณะกรรมการกำกับหลักทรัพย์ของสหรัฐ (SEC) ออกกฎใหม่ให้บริษัทในตลาดหลักทรัพย์ต้องรายงาน "การโดนเจาะระบบ" ให้นักลงทุนทราบด้วย ซึ่ง VeriSign ยื่นเอกสารนี้ในเดือนตุลาคมปีที่แล้ว และรอยเตอร์เพิ่งค้นพบข้อมูลนี้ในเอกสารกว่า 2,000 ชิ้นที่ SEC นำมาเผยแพร่

Tags:
Node Thumbnail

DigiCert Sdn. Bhd เป็นหน่วยงานออกใบรับรองแบบตัวกลาง (Intermediate CA) ที่ได้รับการรับรองจาก Entrust และ Verizon มาอีกที แต่หลังจากพบการออกใบรับรองอย่างหละหลวมหลายใบจนมีการนำใบรับรองเหล่านั้นไปโจมตีผู้อื่น ทางมอซซิลล่าและไมโครซอฟท์ก็ประกาศยกเลิกสถานะของ CA นี้

Tags:
Node Thumbnail

ก่อนหน้านี้กูเกิลเคยเปิดหน้าค้นหาแบบเข้ารหัสผ่านทาง encrypted.google.com มาก่อนแล้ว แต่หลังจากนี้กูเกิลก็ระบุว่าแผนการคือเว็บค้นหาทั้งหมดสำหรับผู้ใช้ที่ล็อกอินกับ Google Account จะกลายเป็น HTTPS โดยผู้ใช้ไม่ต้องทำอะไรเพิ่มเติม

ผู้ใช้ที่ไม่ได้ล็อกอินสามารถใช้ https://www.google.com เพื่อค้นหาแบบเข้ารหัสได้เช่นกัน หรือหากกลัวลืมก็ควรใช้ SSL enforcer ทั้งหลายเพื่อให้แน่ใจว่าการค้นหาจะเข้ารหัสทุกครั้ง

ที่มา - Google Blog

Tags:
Node Thumbnail

Wikimedia Foundation องค์กรแม่ของ Wikipedia ประกาศว่าเว็บไซต์ทั้งหมดในเครือ (ได้แก่ Wikipedia, Wiktionary, Wikisource, Wikiquote, etc.) รองรับการเรียกข้อมูลผ่านโพรโตคอล HTTPS แล้ว ช่วยให้ผู้ใช้เว็บไซต์เหล่านี้ปลอดภัยมากขึ้น

ก่อนหน้านี้ Wikimedia Foundation เคยมีเว็บ secure.wikimedia.org ซึ่งมีข้อจำกัดทางเทคนิคหลายประการ ตอนนี้เปลี่ยนมาเป็น URL แบบปกติแต่ใช้ https:// แทน ช่วยให้ระบบความปลอดภัยและการใช้งานสมบูรณ์ขึ้น

ตอนนี้เว็บใหญ่ๆ หลายแห่งของโลกไม่ว่าจะเป็น Google, Facebook, Twitter, Hotmail, Foursquare เปิดใช้ HTTPS กันหมดแล้ว (ติดตามอ่านได้จากข่าวหมวด SSL) อย่าลืมใช้งานเพื่อความปลอดภัยของข้อมูลของท่าน

Tags:
Node Thumbnail

ข่าวใบรับรอง SSL ถูกเจาะในรูปแบบต่างๆ นั้นเริ่มเกิดขึ้นบ่อยครั้งในช่วงหลัง เพราะเว็บต่างๆ ก็เริ่มใช้ HTTPS มากขึ้นเรื่อยๆ เช่นกรณีล่าสุดของ DigiNotar ทำให้ EFF (Electronic Frontier Foundation) อัพเดตปลั๊กอิน HTTPS Everywhere สำหรับไฟร์ฟอกซ์ที่แต่เดิมจะทำหน้าที่เลือกบริการเข้ารหัสในกรณีที่เว็บมีบริการทั้งแบบเข้ารหัสและไม่เข้ารหัส มาเป็นการตรวจสอบใบรับรองการเข้ารหัสด้วยว่าปลอดภัยดีหรือไม่

โครงการนี้ต่อยอดมาจากโครงการ EFF SSL Observatory ที่ตั้งข้อสังเกตว่ามีหน่วยงานที่ไม่น่าเชื่อถือจำนวนหนึ่งมีสถานะเป็นหน่วยงานออกใบรับรองได้ และเบราเซอร์หลักๆ ก็เชื่อใบรับรองจากหน่วยงานเหล่านี้อีกด้วย

Tags:
Node Thumbnail

นักวิจัยด้านความปลอดภัยสองคนคือ Juliano Rizzo และ Thai Duong ได้นำเสนองานวิจัยที่งาน Ekoparty สาธิตความเป็นไปได้ในการเจาะเว็บที่มีการรวมโค้ดจากภายนอกที่ไม่ได้เข้ารหัส SSL แม้ตัวเว็บหลักจะส่งข้อมูลผ่าน SSL ก็ตาม

เทคนิคนี้อาศัยการส่งจาวาสคริปต์ปลอมด้วยการดักกลาง (man in the middle) ระหว่างการโหลดจาวาสคริปต์จากเว็บภายนอกที่ไม่ได้เข้ารหัส ตัวจาวาสริปต์นั้นจะส่งข้อความที่แฮกเกอร์รู้ล่วงหน้า (known text) กลับไปยังเว็บหลัก เมื่อแฮกเกอร์จับข้อความแบบเข้ารหัสแล้วจึงนำมาเข้ากระบวนการย้อนกลับ เพื่อหากุญแจเข้ารหัสของ session นั้นๆ ได้

Tags:
Node Thumbnail

หลังจากใบรับรอง SSL ของกูเกิลถูกปลอมได้สำเร็จ บริษัทผู้ออกใบรับรองคือ DigiNotar ก็ถูกสอบสวนอย่างหนักรายงานหลายฉบับแสดงถึงความหละหลวมภายใน (รายงานจากไฟร์ฟอกซ์, รายงานจาก Fox-IT ตัวแทนรัฐบาล) ความน่าเชื่อถือของ DigiNotar ถูกทำลายอย่างรวดเร็วส่งผลให้ลูกค้าโดยเฉพาะรัฐบาลเนเธอร์แลนด์เองต้องประกาศยกเลิกใบรับรองทั้งหมด ธุรกิจที่ถูกทำลายจ

Tags:
Node Thumbnail

ปัญหาจาก DigiNotar ดูจะยังไม่จบง่ายๆ เมื่อแฮกเกอร์ที่แฮก Comodo ได้โพสต์ข้อความลง PasteBin ว่าเขาเป็นผู้แฮก DigiNotar เองโดยอาศัยบั๊กที่ยังไม่ได้แพตซ์ (zero day bug) จำนวนมากพร้อมกับประกาศว่าเขายังสามารถเข้าถึง CA อื่นๆ เช่น GlobalSign

ทาง GlobalSign หลังจากได้รับคำเตือนนี้ก็หยุดให้บริการออกใบรับรองทันทีและดำเนินการตรวจสอบภายใน แม้จนตอนนี้ยังไม่มีรายงานว่าพบใบรับรองปลอมจาก GlobalSign ก็ตาม

Tags:
Node Thumbnail

หลังข่าว DigiNotar ซึ่งเป็น root CA ที่ได้รับการยอมรับในเบราเซอร์ทั้วไปถูกโจมตีจนกระทั่งออกใบรับรองปลอมให้กับแฮกเกอร์ไปได้นั้น รัฐมนตรีกระทรวงมหาดไทยของเนเธอร์แลนด์ก็ออกมาสั่งให้หน่วยงานรองรัฐทั้งหมดยกเลิกใบรับรองที่ได้มาจาก DigiNotar ทั้งหมด และเตรียมการขอใบรับรองใหม่จากบริษัทอื่น

นอกจากนี้ Piet Hein Donner รัฐมนตรีกระทรวงมหาดไทยยังออกมาเตือนประชาชนว่าหากเบราเซอร์ขึ้นคำเตือนว่าเว็บไซต์อาจจะไม่ปลอดภัย ประชาชนก็ไม่ควรเข้าใช้งานเว็บไซต์นั้นๆ

Tags:
Node Thumbnail

เนื่องจากวันนี้มีข่าวกูเกิลถูกโจมตี เลยอยากพูดถึงความเปลี่ยนแปลงด้านความปลอดภัยหลายๆ เรื่องพร้อมๆ กันในข่าวเดียวเนื่องจากค่อนข้างเกี่ยวเนื่องกัน

เริ่มจากทางกูเกิลได้อัพเดตเรื่องนี้ว่าบริษัทได้รับรายงานว่ามีความพยายามจะโจมตีแบบ man-in-the-middle (MITM) บ้างแล้ว โดยเป้าหมายหลักคือกลุ่มผู้ใช้ในอิหร่าน อย่างไรก็ดีกูเกิลยืนยันว่าผู้ใช้ Chrome นั้นปลอดภัยจากการโจมตีครั้งนี้ และฝั่งไฟร์ฟอกซ์เองก็รีบออกอัพเดตเพื่อลดผลกระทบของการโจมตี พร้อมกับออกคำแนะนำสำหรับการยกเลิกใบรับรองของ DigiNotar ในกรณีที่ไม่ต้องการอัพเดต

Tags:
Node Thumbnail

แฮกเกอร์สามารถขอใบรับรอง SSL จากผู้ให้บริการรับรองในเนเธอร์แลนด์ที่ชื่อว่า DigiNotar ให้กับโดเมน *.google.com เป็นผลสำเร็จ ทำให้แฮกเกอร์ที่ถือใบรับรองนี้สามารถปลอมตัวเป็นกูเกิลและดักฟังหรือดัดแปลงข้อมูลได้โดยเบราเซอร์ไม่มีคำเตือนใดๆ

ยังไม่มีข้อมูลจากทาง DigiNator ว่าการออกใบรับรองอย่างไม่ถูกต้องนี้เป็นความผิดพลาดของการยืนยันเจ้าของโดเมน หรือแฮกเกอร์แฮกเอาจากระบบออกใบรับรองโดยตรง รวมถึงไม่มีการยืนยันว่ามีโดเมนอื่นๆ ที่ถูกปลอมใบรับรองแบบเดียวกันหรือไม่

ใบรับรองถูกโพสไว้ที่ Pastebin.com และภายในไม่กี่วันนี้ระบบปฎิบัติการต่างๆ น่าจะออกอัพเดตออกมาเมื่อยกเลิกใบรับรองเหล่านี้ ดังนั้นควรรีบอัพเดตเพื่อความปลอดภัย

Tags:
Node Thumbnail

HTTPS Everywhere เป็นส่วนเสริมของ Firefox ที่ช่วยให้เราเข้าเว็บผ่านโพรโตคอลเข้ารหัส HTTPS เพื่อความปลอดภัยที่ดีขึ้น ส่วนเสริมนี้ออกมาตั้งแต่ปีที่แล้ว (ข่าวเก่า)

โครงการ HTTPS Everywhere เป็นความร่วมมือของมูลนิธิ Electronic Frontier Foundation กับ Tor Project และมันเดินทางมาถึงรุ่น 1.0 แล้ว

การเปลี่ยนแปลงที่สำคัญในรุ่น 1.0 คือรองรับเว็บไซต์เพิ่มขึ้นอีกมาก (ตัวเลขของ EFF บอกว่ามากกว่า 1,000 เว็บไซต์) ผู้ที่ใช้ Firefox สามารถติดตั้งได้จากลิงก์แรกสุดของข่าวครับ

ที่มา - EFF

Tags:
Node Thumbnail

Chet Wisniewski นักวิจัยด้านความปลอดภัยจากบริษัท Sophos ออกเตือนผู้ใช้อุปกรณ์ iOS ให้รีบอัพเกรด iOS ไปยังรุ่นล่าสุดเนื่องจากมันได้รับการแก้บั๊ก SSL ทำให้ผู้ใช้ปลอดภัยจากการถูกดักฟังข้อมูลที่เข้ารหัส

บั๊กรูปแบบเดียวกันนี้ถูกค้นพบตั้งแต่ปี 2002 ในวินโดวส์โดย Moxie Marlinspike ปัญหาอยู่ที่ตัวอ่านใบรับรอง SSL ผิดพลาดในการตรวจสอบเงื่อนไงบางอย่างทำให้ผู้โจมตีสามารถปลอมใบรับรอง SSL สำหรับโดเมนใดๆ ก็ได้

แอปเปิลระบุว่านักวิจัยสองคนคือ Paul Kehrer จาก Trustwave และ Gregor Kopf จาก Recurity Lab เป็นคนรายงานข้อผิดพลาดดังกล่าว

Tags:
Topics: 
Node Thumbnail

StartSSL ผู้ให้บริการจดทะเบียนใบรับรอง SSL (Certification Authority) ที่ให้บริการฟรีระบุว่าระบบของตัวเองถูกโจมตีจนต้องหยุดให้บริการจดทะเบียนใบรับฟรีอย่างไม่มีกำหนด แต่ยืนยันว่าไม่มีใบรับรองปลอมหลุดออกไปเหมือนกรณีบริษัท Comodo

StartSSL ยืนยันว่าไม่มีกรณีที่น่ากลัวเช่นใบรับรอง intermediate CA หรือใบรับรองปลอมของโดเมนอื่นๆ หลุดไปจากการโจมตีครั้งนี้เนื่องจากระบบการรับรองนั้นแยกออกไปไม่เชื่อมต่อกับอินเทอร์เน็ต

ที่น่าสงสัยคือ StartSSL ไม่บอกเลยว่ามีอะไรถูกโจมตีไปบ้างและผู้ใช้ต้องระวังตัวกันอย่างไร

Tags:
Node Thumbnail

หลังจากมีผู้ไม่หวังดีจดทะเบียน certificate ปลอม ไมโครซอฟท์จึงรีบปล่อยอัพเดตบน Windows แพลตฟอร์มแทบจะในทันที ล่าสุดไมโครซอฟท์ก็ได้ปล่อยอัพเดตรายการยกเลิกใบรับรอง (Certificate Revocation List - CRL) ให้กับ Windows Phone 7 ที่ผ่านการอัพเกรด NoDo มาแล้ว สำหรับเครื่องใดที่ยังไม่ได้รับการอัพเกรด NoDo ก็ได้ถูกอัพเกรด NoDo ให้ด้วยเลย - WMPoweruser

Tags:
Node Thumbnail

ทั้ง Facebook และ Twitter ประกาศเปิดให้ใช้ HTTPS ตลอดเวลาเพื่อเพิ่มความปลอดภัยของผู้ใช้ คราวนี้ถึงคิวของ Foursquare บ้าง

Foursquare ประกาศผ่านการทวีตว่าการเชื่อมต่อทุกชนิดของตัวเอง ไม่ว่าจะเป็นเว็บหรือแอพ จะอยู่บน HTTPS ทั้งหมด ด้วยเหตุผลว่าข้อมูลสถานที่จากการเช็คอินเป็นข้อมูลสำคัญ ที่ไม่ควรจะมีใครดักจับไปได้นั่นเอง

ที่มา - Mashable

Tags:
Node Thumbnail

หลังจากบริษัท Comondo ถูกแฮกจนแฮกเกอร์ได้ใบรับรองการเข้ารหัส (SSL Certificate) ไปจำนวนหนึ่งวันนี้ทางนักวิเคราะห์เทคนิคของ EFF ก็ได้ออกมาเสนอข้อมูลการตรวจสอบว่า นอกจากกรณีที่มีการเข้าขอใบรับรองการเข้ารหัสโดยไม่ใช่เจ้าของโดเมนจริงแล้ว ยังมีกรณีการขอใบรับรองในชื่อโดเมนที่ไม่ถูกต้องอีกจำนวนมากถึง 37,000 ชื่อ

Tags:
Node Thumbnail

ต่อจากข่าว ไมโครซอฟท์แอบถอด HTTPS ออกจาก Hotmail ในบางประเทศ หลังจากเรื่องดังขึ้นมา ไมโครซอฟท์ได้แก้ไขให้ผู้ใช้ Hotmail ทุกคนสามารถใช้ HTTPS ได้ดังเดิมแล้ว

ไมโครซอฟท์อธิบายเรื่องนี้ว่าถือเป็น "บั๊กลึกลับ" ที่ไมโครซอฟท์เองก็หาสาเหตุไม่เจอ แต่ก็ยืนยันว่าไม่ได้ตั้งใจปิดตัวเลือก HTTPS ในบางประเทศแต่อย่างใด

ที่มา - Windows Live Help, The Register

Tags:
Node Thumbnail

Hotmail Wave 4 เพิ่งมีฟีเจอร์เชื่อมต่อผ่าน HTTPS/SSL ตลอดเวลา ไปเมื่อปีที่แล้ว แต่ล่าสุดทาง Electronic Frontier Foundation หรือ EFF ออกมาเปิดเผยว่าไมโครซอฟท์แอบถอดฟีเจอร์นี้ออกไปเงียบๆ สำหรับผู้ใช้ในบางประเทศ

ประเทศที่ไม่สามารถต่อผ่าน HTTPS ได้ ส่วนมากได้แก่ ประเทศกลุ่มตะวันออกกลาง แอฟริกาเหนือ และเอเชียกลาง โดยมีเพื่อนบ้านของเราคือพม่ารวมอยู่ด้วย ประเทศทั้งหมดมีดังนี้ Bahrain, Morocco, Algeria, Syria, Sudan, Iran, Lebanon, Jordan, Congo, Myanmar, Nigeria, Kazakhstan, Uzbekistan, Turkmenistan, Tajikistan, Kyrgyzstan

Pages