ไมโครซอฟท์ยอมรับ ช่องโหว่ FREAK มีผลกับวินโดวส์ด้วย กระทบวินโดวส์ทุกรุ่น

By mk Founder on Tag: Windows, Security, SSL, HTTPS, Microsoft
Windows

เมื่อวานนี้เพิ่งมีข่าวช่องโหว่ FREAK ที่ค้นพบบนไลบรารี OpenSSL ซึ่งส่งผลกระทบต่อเซิร์ฟเวอร์และระบบปฏิบัติการฝั่งยูนิกซ์ แต่ล่าสุดไมโครซอฟท์ออกมายอมรับแล้วว่า__ระบบปฏิบัติการวินโดวส์ทุกรุ่น__ก็มีช่องโหว่ลักษณะนี้เช่นกัน

อย่างไรก็ตาม ช่องโหว่นี้จะใช้งานได้ต่อเมื่อวินโดวส์เปิดใช้งานฟีเจอร์ RSA key exchange export ciphers ซึ่งปิดมาเป็นค่าดีฟอลต์ ไมโครซอฟท์แนะนำให้แอดมินระบบตรวจเช็คค่านี้ และสั่งปิดได้จากโปรแกรม Group Policy Object Editor (ใช้ได้เฉพาะ Windows Vista เป็นต้นไป, Windows Server 2003 ทำไม่ได้) ส่วนในระยะยาว ไมโครซอฟท์กำลังตรวจสอบรายละเอียดและอาจออกแพตช์ตามมา

ที่มา - Microsoft, Ars Technica

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

bigkung0001 Fri, 06/03/2015 - 14:23

รู้สึกจะมาถี่จังครับ แล้วรู้สึกเหมือนที่ยอมรับมานี้ มันมีข้อความนัยเหมือนจะบอกว่าวินโด้ ที่เลิกซัพพอตไปแล้วจะอยู่ในความเสี่ยงทั้งหมดควรเปลี่ยนเป็นรุ่นใหม่ด้วยอ่ะนะ

จักรนันท์ Fri, 06/03/2015 - 14:58

ที่ออกมายอมรับช้าเพราะว่า มันเป็นการยอมรับเป็นนัยว่าลอก Code ของ OpenSSL ไปใช้ทื่อๆ ด้วยน่ะครับ ผมรอดูอยู่แล้วว่าจะออกมาแถลงอีท่าไหน เพราะที่ผ่านมา SSL Bug นี่คน M$ มักแสดงท่าทีราวกับว่าใน OS ตัวเองเขียนเองขึ้นมาหมดทั้งดุ้น 100% มาเรื่อย หลอกคนที่ทำ Re-eng ไม่ได้หรอกครับ เพียงแต่มีคนกลุ่มนี้เพียงจำนวนน้อยและไม่ค่อยออกเสียงกัน เพราะ reverse ออกมาแล้ว Flow+Algo มันท่วงทำนองเหมือน Opensource อย่างกับแกะ

osmiumwo1f Fri, 06/03/2015 - 16:04

น่าจะเป็นเพราะ MS ต้องการให้ Windows มันรองรับ OpenSSL เลยต้องทำให้ flow กับ algorithm เหมือนกันเพื่อลดปัญหาเรื่องความเข้ากันได้มากกว่าครับ

nant Sun, 08/03/2015 - 13:32

พูดแบบนี้แสดงว่าไม่เคยอ่าน license ของ openssl ที่อนุญาติให้นำไปใช้โดยไม่ต้องเปิดเผยซอร์ส

opensource มี lincense เยอะครับ นอกจาก gnu

จักรนันท์ Sun, 08/03/2015 - 19:27

ไม่ใช่ครับ คนละเรื่องกับที่ผมสื่อความเห็นครับ (ไม่เหมือนกรณี VMware เลยนะครับ)

ผมไม่ได้ตำหนิเรื่องนำไปใช้ครับ เพราะเรื่อง SSL กับ SAMBA นี่ในระยะช่วงเปลี่ยนผ่านสู่ NT Kernel นั้น ผมมีส่วน Involve อยู่ด้วย (ใช่อย่างที่คุณ leeyiankun ทัก คือยุค '90 จริงๆ) ผมพูดถึงพฤติกรรมน่าเกลียดในระดับนโยบายบริษัทครับ ซึ่งอารยธรรมนี้ยังฝังอยู่ใน msvcrt.dll ตลอดมาจนปัจจุบัน เนื่องจาก SSL ไม่ใช่ Process ที่ต้อง Interface กับ Hardware ใดๆ (คณิตศาสตร์ล้วนๆ) ซึ่งเวลา M$ จะโม้เรื่อง Secure ของผลิตภัณฑ์ของตัวเองที ก็โม้ราวกับว่าปั้นมากับมือ 100% เสมอ โดยที่ผ่านมาไม่เคยแม้แต่จะ Assign คนให้ร่วมกับชุมชน Opensource ใดๆ สักนิดด้วยซ้ำ
มีแต่เอาไปใช้แล้วยังคอยขย้ำแตะตัดขา เช่นกรณี SAMBA เป็นต้น

เที่ยวนี้ก็คงเหมือนเดิม แม้จะได้ CEO ใหม่ก็ตาม ถ้า OpenSSL ยังไม่ออกใหม่กว่า 1.0.1k ทุกคนก็รอ Patch ไปเถอะครับ เพราะ M$ ก็รอแก้ Code ตาม OpenSSL ก่อนเหมือนกัน (เช่นเคย)

ช่วง Advance Agro เข้ามาปักหลักในเมืองไทยที่ปราจีนบุรี ตอนนั้นผมยังหนุ่มแน่นไฟแรงกว่านี้ ยังเป็นลูกจ้างบริษัทใหญ่ข้ามชาติ ซึ่งบริษัทรับงาน Implement ให้ AA (มันนานกว่า 20 ปีแล้ว ผมคงระบุปีชัดๆ ไม่ได้ครับ) ตอนนั้น AA บริษัทแม่ที่จีนใช้ Windows 3.11 FWG เป็น HMI (Human machine interface) บน Control panel ใน Production Line ซึ่งสื่อสารอยู่บน IPX, NetBIOS และ ModBUS กับ Computer ชนิดอื่นๆ ในโรงงาน แต่ตอนที่ AA มาสร้างโรงงานในประเทศเรา ก็เข้าสู่ยุคเปลี่ยนผ่านสู่ NT Kernel พอดี ซึ่งต้องเอา 3.11 FWG ออก แทนที่ด้วย NT และตอนนั้นเอง ผมได้รับ Assign ให้ทำงานส่วนนี้ครับ

ตอนนั้น M$ ซึ่งเพิ่งเริ่มจะยอมรับ TCP/IP (ตอน 3.11 ยังต้องใช้ Winsock และ ie เพิ่งเกิด) เรียกว่า ลอกดะเลยล่ะครับ เพราะ Technology ตอนนั้นก็เริ่มมาทาง TCP/IP กันแล้ว ทำให้ผมโดนโยนงานส่วนนี้มา และถูกกำหนดให้ Submit สู่ Community ในนามบริษัท จากตรงนั้นผมพบเห็นว่า SSL ถูกลอกไปใส่ตั้งแต่ตอนนั้น โดยที่ M$ ไม่สนับสนุนอะไรชุมชนเลยสักนิด แต่เวลาโม้นี่ ถึงไม่ได้กล้าพูดตรงๆ ว่าปั้นเองกับมือ 100% แต่ก็ทำให้เข้าใจได้เหมือนอย่างนั้นเสมอ จนกระทั่งบัดนี้ชุมชนก็ไม่เคยได้รับอะไรนอกจากแตะตัดขาทีเผลอเสมอ บริษัทผมเล็กกว่าตั้งเยอะ ยัง Assign คน จ่ายเงินเดือนให้พัฒนาแล้ว Submit กลับสู่ชุมชนด้วยซ้ำ

อีกงานที่โดนโยนมาคือ SAMBA (ช่วง 1.x ถึง 3.x ตอนต้น ก่อนจะประกาศ CIFS) ซึ่งทำให้ผมชำนาญ SMB Protocol เป็นพิเศษเพราะแกะมาพรุน เนื่องจากพอ NT เกิดขึ้น การแชร์ไฟล์ของ Windows มันสะดวกและได้รับความนิยมสูงอย่างรวดเร็ว (แม้ Security จะห่วยแตกเอามากๆ ก็ตาม - มันแลกกันระหว่างความง่ายกับความรัดกุมครับ) งานก็โดนบังคับให้ต้องทำให้ Unix (Conveyor control) และ Solaris (Logging server) ในงานต้อง Access ไฟล์บน NT ให้ได้ ก็โดน Assign ให้ทำงานกับ SAMBA ช่วงหนึ่ง ซึ่ง....

*** ตอนนั้นอยู่ในเวลาที่ M$ กำลังพยายามจะฟ้อง SAMBA Team พอดี ***

ไปค้นหาเรื่องราวกันเอาเองนะครับ เรื่องจะฟ้องนี่ขอไม่เล่า มันนานมาก่อน Blognone จะเกิดมาด้วยซ้ำ

SMB Protocol นี่ ชุมชนไม่เคยเห็น Code ใดๆ นะครับ เพราะไม่มีอะไรที่ M$ เปิด Code อยู่แล้ว แม้กระทั่ง API ในระดับ Protocol ก็ไม่เปิด เรียกว่าต้อง Re-eng และ Sniff แกะกันเองแท้ๆ เลยล่ะครับ ยังจะพยายามฟ้องร้องว่าละเมิด! เพราะตอนนั้น M$ พยายามจะครองโลกด้วยเสมือนจะไม่ให้ OS อื่นได้คุยกับ Windows ได้ เพื่อเบียดออกไปให้หมด แต่ก็กล้าๆ กลัวๆ ว่าถ้าทำถึงขนาดจด Patent SMB ไม่ให้ใครคุยด้วยเลย NT ก็จะเข้าแทนที่ของที่มีอยู่แล้ว+ใช้งานอยู่แล้วในโลกไม่ได้

แต่เพราะชุมชนไม่ได้ลอก (ก็ไม่มี Source ใดๆ ให้ลอกนี่หว่า) ก็เลยหาช่องฟ้อง SAMBA ไม่ได้ จนกระทั่ง SAMBA ขึ้น 4.x (ผมไม่ได้ Involve แล้ว) และปรับปรุงจน Protocol ดีกว่า SMB เดิมของ M$ ขึ้นมาเสียอีก ทำให้ M$ สบายขึ้นคือไม่ต้องคิดเองอีกต่อไปแล้ว ลอก CIFS ไปใส่ใน NT Kernel ตั้งแต่ W2k เป็นต้นมา แล้วก็ทำผิวปากลอยหน้าลอยตามาจนทุกวันนี้เช่นเคย
ที่คุณ Share กัน Map drive กันในปัจจุบันน่ะ มันก็กลายเป็นผลงานของชุมชน Opensource ไปกันแล้วครับ แต่มันก็กำเนิดจากฐาน SMB Protocol ของ M$ เองมาก่อนเช่นกัน (ซึ่ง SSL นี่... ไม่ใช่เลยนะ - ผมหมายถึง น่าเกลียดเสียยิ่งกว่ากรณี SMB)

สำหรับ Linux ทุกวันนี้ CIFS รวมอยู่ใน Kernel แล้วครับ (ตั้งแต่ July 2007 ที่ 2.6.x kernel)

พยายามเล่าย่อๆ รวบๆ นะครับ ถ้าอ่านยากเข้าใจยากก็ต้องขออภัยครับ

จักรนันท์ Wed, 11/03/2015 - 01:36

เกิดนึกขึ้นได้ว่าลืมเล่าสิ่งสำคัญหนึ่งในประวัติศาสตร์ไป เลยมาเพิ่มเติมนะครับ

SMB Protocol เกิดขึ้นเพราะ M$ ตั้งใจจะฆ่า Novell Netware ครับ และก็ฆ่าสำเร็จเสียด้วย เป็นหนึ่งใน OS แรกๆ ที่ผมชำนาญและชอบมากครับ เขียน Module บน Netware นี่ ความรู้สึกสนุกราว 75% ของ Linux เลย (ตอนนั้น Linux ยังไม่เกิดนะครับ)