Electronic Frontier Foundation
Tags:
EFF

เวลาที่เราเข้าเว็บดูสินค้าตัวหนึ่งแล้วพบว่าหลังจากนั้นโฆษณาสินค้าตัวเดิมกลับตามเราไปทุกที่ เป็นเพราะเว็บจำนวนมากมักแชร์ข้อมูลให้กับผู้ให้บริการภายนอก (เช่นเดียวกับ Blognone ที่แสดงโฆษณาผ่าน DoubleClick) ผู้ให้บริการเหล่านี้นำข้อมูลไปประมวลแล้วแสดงโฆษณาออกมาตรงกับประวัติเว็บที่เราเข้าดูได้ แต่ส่วนเสริม Privacy Badger ของ EFF ที่เพิ่งเปิดตัวจะบล็อคการแชร์ข้อมูลเหล่านี้

Privacy Badger เป็นเครื่องมือที่ EFF สร้างขึ้นมาเพื่อบังคับใช้มาตรฐาน Do Not Track (DNT) ที่ให้ผู้ใช้ตั้งค่าในเบราว์เซอร์เพื่อส่งข้อมูลบอกไปยังเว็บเซิร์ฟเวอร์ว่าอย่าติดตามผู้ใช้ หากเป็นบริการที่ไม่ทำตาม Do Not Track ตัว Privacy Badger จะบล็อคเนื้อหาที่ฝังมาจากบริการนั้นทิ้งเพื่อไม่ให้เบราว์เซอร์ส่งข้อมูลไปเลย แนวทางนี้จึงกดดันให้ผู้ให้บริการส่วนเสริมเว็บจะต้องทำตาม DNT เพื่อให้เว็บแสดงผลได้ถูกต้อง

มาตรฐาน Do Not Track เพิ่งออกมาตรฐานรุ่น 1.0 เมื่อวันที่ 3 สิงหาคมที่ผ่านมา ตัวส่วนเสริมรองรับไฟร์ฟอกซ์ และโครม

ที่มา - EFF

Tags:
USA

วุฒิสภาสหรัฐฯ ผ่านร่างกฎหมาย USA Freedom Act 2015 และโอบามาก็ลงนามแทบจะทันทีเพื่อให้อำนาจกับ NSA บางส่วนจากที่เคยมีอำนาจการดักฟังตาม USA Patriot Act 2001 มาก่อนหน้านี้ แต่ Patriot Act หมดอายุลงเมื่อวันที่ 1 มิถุนายนที่ผ่านมา

ภายใต้กฎหมายใหม่ NSA จะไม่มีสิทธิกวาดเอาข้อมูลการโทร (call detail record - CDR) มาเก็บไว้ที่ฐานข้อมูลตัวเองได้อีกต่อไป แต่จะต้องทิ้งฐานข้อมูลนี้เอาไว้กับผู้ให้บริการ และขอเข้าถึงเมื่อมีเบาะแสถึงตัวบุคคล การเก็บข้อมูลด้วยเบาะแสนี้จะต้องจำกัดเป็นรายบุคคลและขออนุญาตศาล FISA ได้คราวละ 180 วันแต่สามารถต่ออายุได้เป็นรอบๆ และระบุว่าต้องมีกระบวนการทำลายรายการบันทึกที่ไม่เกี่ยวข้องออกจากระบบ สำหรับกรณีฉุกเฉินสามารถส่งคำขอผ่านอัยการสูงสุดได้และอัยการสูงสุดจะต้องยื่นเรื่องต่อศาล FISA ภายใน 7 วันหลังจากขอข้อมูลไปแล้ว

กฎหมาย Patriot Act มีส่วนสำคัญ คือ Section 215 ที่ให้อำนาจ NSA ในการเก็บ CDR ไว้โดยไม่ต้องมีเหตุสงสัยอะไร Edward Snowden เคยระบุว่าข้อมูลจากกฎหมายนี้ไม่เคยหยุดการก่อการร้ายได้ แต่ก็มีความพยายามรักษาอำนาจนี้ตลอดมา

ทาง EFF องค์กรปกป้องสิทธิออนไลน์ออกมาแสดงความยินดีกับการผ่านกฎหมายครั้งนี้ แต่ระบุว่ายังมีกฎหมายอีกฉบับ คือ คำสั่งบริหาร 12333 ที่ให้อำนาจการเก็บข้อมูลจากคนต่างชาติได้อย่างกว้างขวาง และทาง EFF เรียกร้องให้โอบามาเปลี่ยนแปลงกฎหมายนี้ก่อนจะหมดวาระ

ที่มา - The Washington Times, EFF

Tags:
EFF

Electronic Frontier Foundation (EFF) องค์กรไม่หวังผลกำไรที่ทำด้านสิทธิของผู้ใช้งานไอที ออกแอพ EFF บน Android และประกาศว่าจะไม่ทำแอพเวอร์ชัน iOS ด้วยเหตุผลว่าเงื่อนไขของแอปเปิลสำหรับนักพัฒนา (Developer Agreement) นั้นจำกัดเกินไป

  • ห้ามนักพัฒนาแถลงการณ์เกี่ยวกับข้อตกลงนี้ต่อสาธารณะ แม้ตัวเอกสารจะไม่เป็นความลับก็ตาม
  • ห้ามการทำ reverse engineering แม้จะเป็นแนวทางที่ศาลสหรัฐอนุญาตให้ทำได้
  • จำกัดว่าแอพจะต้องแจกจ่ายผ่าน App Store ของแอปเปิลเท่านั้น ไม่สามารถไปเผยแพร่ผ่านช่องทางอื่น (เช่น Cydia) ได้
  • ห้ามนักพัฒนางัดแงะ แก้ไข เจลเบรก สินค้าของแอปเปิลทั้งหมด ไม่จำกัดเฉพาะอุปกรณ์ iOS
  • สิทธิการอนุมัติแอพเวอร์ชันใหม่ที่เน้นการแก้บั๊กหรืออุดช่องโหว่อยู่กับแอปเปิล ถ้าแอปเปิลอนุมัติช้าหรือไม่อนุมัติ ผู้ใช้อาจมีอันตรายจากช่องโหว่ได้ (แม้เราจะแก้แล้วก็ตาม)
  • แอปเปิลมีสิทธิถอนแอพเมื่อไรก็ได้ แม้ผู้ใช้จะติดตั้งลงเครื่องไปแล้ว แอปเปิลก็สั่งลบออกได้
  • ประเด็นเรื่อง DRM ที่แอปเปิลเข้ามากำหนดสิทธิการเข้าถึงแอพ

EFF บอกว่านักพัฒนาจำนวนมากยอมทำตามเงื่อนไขนี้ เพราะ App Store เป็นตลาดใหญ่ที่ยากจะหลีกเลี่ยงได้ ซึ่ง EFF เองก็อยากให้คนใช้งานซอฟต์แวร์ของตัวเองมากที่สุดเท่าที่จะทำได้เช่นกัน แต่เมื่อพิจารณาปัจจัยทั้งหมดแล้ว EFF ไม่สามารถยอมตามเงื่อนไขของแอปเปิลได้ จึงออกเฉพาะแอพของ Android เพียงแพลตฟอร์มเดียว

ที่มา - EFF

Tags:

Seth Schoen จาก EFF บรรยายรายละเอียดของโครงการ Let's Encrypt ที่งาน 31C3 เตรียมให้บริการเดือนมิถุนายนนี้

โครงการ Let's Encrypt ตั้งใจจะทำให้กระบวนการเข้ารหัสเว็บกลายเป็นกระบวนการอัตโนมัติทั้งหมด โดยผู้ใช้สามารถติดตั้งแพ็กเกจ lets-encrypt แล้วสั่งรันเพื่อขอใบรับรองและเริ่มเข้ารหัสได้ทันที

กระบวนการออกใบรับรองโดยทั่วไปต้องได้รับการตรวจสอบจากภายนอก และการรับรองระดับต่ำสุดคือ Domain Validation นั้นระบุว่าต้องมีการพิสูจน์ก่อนว่าผู้ที่ยื่นขอใบรับรองนั้นเป็นผู้ที่ควบคุมโดเมนจริง ทาง Let's Encrypt พบว่ากระบวนการนี้ที่จริงแล้วสามารถทำได้ด้วยซอฟต์แวร์อัตโนมัติทั้งหมด จึงพัฒนาโปรโตคอล ACME เพื่อขอรับการตรวจสอบผ่านการแลกข้อมูล JSON โปรโตคอลนี้เป็นโปรโตคอลเปิด และมีแผนจะส่งเข้าไปยัง IETF เพื่อเป็นมาตรฐานกลาง นักพัฒนาสามารถสร้างไคลเอนต์สำหรับขอใบรับรองจาก Let's Encrpyt ได้เอง

Tags:
EFF

Electronic Frontier Foundation (EFF) ออกรายงานเปรียบเทียบความปลอดภัยของแอพแชทในท้องตลาดเกือบ 40 ตัว ว่ามีความปลอดภัยของข้อมูลผู้ใช้มากน้อยแค่ไหน โดยแบ่งการทดสอบออกเป็น 7 ส่วน

  • ข้อความถูกเข้ารหัสระหว่างส่งหรือไม่
  • ผู้ให้บริการ (เจ้าของแอพแชท) อ่านข้อความของเราได้หรือไม่
  • ยืนยันตัวตนของคู่สนทนาได้หรือไม่
  • ถ้าหากคีย์ที่ใช้เข้ารหัสถูกขโมย ข้อความเก่าๆ จะถูกแกะอ่านได้หรือไม่
  • โค้ดของแอพเปิดให้หน่วยงานภายนอกตรวจสอบว่าปลอดภัยจริงตามที่อ้างได้หรือไม่
  • มีเอกสารอธิบายสถาปัตยกรรมด้านความปลอดภัยหรือไม่
  • โค้ดเคยถูกตรวจสอบ (audit) ว่าปลอดภัยจริงหรือไม่
Tags:

Twitter ซื้อกิจการ Mitro Labs บริษัททำแอพจัดการรหัสผ่าน โดยระบุว่าเป็นการซื้อทีมงาน ไม่สนใจตัวผลิตภัณฑ์แต่อย่างใด

แต่ที่น่าสนใจคือแทนที่ Twitter จะปิดบริการที่ไม่ต้องการ กลับใช้วิธีเปิดซอร์สโค้ดแทนเพื่อให้โครงการดำเนินต่อไปได้ โดย Twitter ร่วมมือกับองค์กรไม่หวังผลกำไรอย่าง Electronic Frontier Foundation (EFF) ให้ช่วยกำหนดแนวทางต่อว่าจะพัฒนา Mitro อย่างไร

ด้าน EFF ก็ประกาศว่าปัจจุบันมีแอพช่วยจัดการรหัสผ่านหลายตัว แต่แอพที่เป็นโอเพนซอร์ส มีความโปร่งใสที่ให้ผู้ใช้รู้ว่ากระบวนการทำงานภายในเป็นอย่างไรกลับมีไม่เยอะนัก การเปิดซอร์ส Mitro ย่อมเป็นประโยชน์กับผู้ใช้ในภาพรวม

ผู้สนใจสามารถทดลองบริการได้จาก Mitro (รองรับ Firefox, Chrome, Safari) ส่วนซอร์สโค้ดอยู่บน GitHub

ที่มา - Mitro Labs, EFF

Tags:
EFF

ปลั๊กอิน HTTPS Everywhere ช่วยให้เบราว์เซอร์เรียกใช้งาน HTTPS หากเซิร์ฟเวอร์รองรับก่อน HTTP เสมอ ตอนนี้ทาง EFF ผู้ดูแลโครงการก็ประกาศเพิ่มปุ่ม HTTP Nowhere เพื่อเปลี่ยนโหมดการทำงานจากการเรียกหน้าเว็บ HTTPS ก่อนเสมอ มาเป็นการอนุญาตให้เข้าเว็บ HTTPS เท่านั้น

ก่อนหน้านี้มีนักพัฒนานอก EFF คือ Chris Wilper พัฒนาปลั๊กอินชื่อ HTTP Nowhere อยู่ก่อนแล้ว แต่เมื่อทาง EFF เพิ่มฟีเจอร์นี้เอง ผู้ใช้ปลั๊กอิน HTTPS Everywhere ก็จะได้รับความสามารถนี้เมื่ออัพเดตอย่างเป็นทางการครับ

ตอนนี้ปลั๊กอินยังไม่พร้อมใช้งาน เวอร์ชั่นล่าสุดยังมีปัญหากับ Tor Browser อยู่

ที่มา - GitHub

Tags:
EFF

EFF ประกาศโครงการ Open Wireless เพื่อสนับสนุนให้ผู้ใช้ตามบ้านช่วยกันแชร์อินเทอร์เน็ตเป็นสาธารณะมาก่อนหน้านี้ ตอนนี้ทาง EFF ก็เปิดโครงการทำเฟิร์มแวร์เพื่อให้ผู้สมัครอินเทอร์เน็ตสามารถแชร์อินเทอร์เน็ตให้คนทั่วไปใช้ได้อย่างปลอดภัยในชื่อ Open Wireless Router

เฟิร์มแวร์ตัวนี้จะมีเปิด SSID สองชุดได้โดยง่าย ทำให้เราสามารถแชร์อินเทอร์เน็ตแบบไม่ล็อกและเข้ารหัสส่วนที่เราใช้งานเอง โดยสามารถจัดการแบนด์วิดธ์ไม่ให้ส่วนที่เราแชร์ให้คนทั่วไปใช้งานเข้ามากินแบนด์วิดธ์มากเกินไป

นอกจากจะออกแบบมาเพื่อการแชร์อินเทอร์เน็ตแล้ว Open Wireless Router กำหนดค่าความปลอดภัยเพิ่มเติมหลายอย่าง เช่น

  • กำหนดว่าฟอร์มทุกอันต้องมี token เพื่อป้องกันการโจมตี CSRF การรับค่ามีการกรองสคริปต์ XSS
  • แนะนำให้ผู้ใช้ตั้งรหัส Wi-Fi อย่างแน่นหนา โดยสุ่มคำให้สี่คำจากคลัง 7776 คำ เพื่อป้องกันการ brute force
  • ใช้การเข้ารหัส WPA2 PSK+CCMP เป็นค่าเริ่มต้น
  • รหัสผ่านในเครื่องเข้ารหัสด้วย PDKDF2 แบบ 55 รอบ ใช้เวลาคำนวณ 100ms บนเราท์เตอร์ และ 8ms บน Core 2 Duo 1.2 GHz

ตอนนี้ยังเป็นรุ่นอัลฟ่า ฟีเจอร์ความปลอดภัยที่ระบุในสเปคยังไม่สมบูรณ์ และรองรับเราท์เตอร์เฉพาะรุ่น Netgear WNDR3800 เท่านั้น

ที่มา - Threatpost, EFF

Tags:

จากข่าวโครงการดักข้อมูล PRISM ของรัฐบาลสหรัฐ (ที่โดนข่าว WWDC กลบมิด) ทางกลุ่มเคลื่อนไหวเรื่องสิทธิบนอินเทอร์เน็ตนำโดย Mozilla และ Electronic Frontier Foundation (EFF) ก็ออกแคมเปญต่อต้านชื่อ Stop Watching Us มาแล้ว

ข้อเสนอของ Stop Watching Us คือเรียกร้องให้สภาคองเกรสของสหรัฐอเมริกาเปิดเผยรายละเอียดของโครงการ PRISM ต่อสาธารณะ (ซึ่งปัจจุบันถูกปกปิดโดยอ้างประเด็นเรื่องความลับ-ความมั่นคงของชาติ) และเชิญชวนให้องค์กร คนดัง ภาคธุรกิจ นักการเมือง รวมถึงประชาชนทั่วไปร่วมลงชื่อในจดหมายเปิดผนึกเรียกร้องครั้งนี้

ที่มา - Mozilla, EFF

อีกข่าวที่มีเนื้อหาเกี่ยวข้องกันคือวุฒิสมาชิกของสหรัฐจำนวน 8 คน (จากทั้งสองพรรคการเมือง) ก็เตรียมเสนอร่างกฎหมายต่อวุฒิสภาสหรัฐให้เปิดเผยข้อมูลโครงการ PRISM เช่นกัน - Guardian

Tags:
Hangouts

ต่อจากข่าว EFF โวย Hangouts ไม่รองรับ XMPP เต็มรูปแบบ, ไม่มีโหมดเข้ารหัส โฆษกของกูเกิลออกมาชี้แจงในประเด็นเรื่อง XMPP ดังนี้

  • กูเกิลพยายามผลักดันระบบการส่งข้อความแบบเปิดมานาน โดย Google Talk รองรับ XMPP federation มาตั้งแต่ปี 2006 แต่มาถึงปัจจุบันไม่มีโปรแกรม IM รายใหญ่รายใด (Microsoft/Yahoo!/Facebook) รองรับโพรโทคอลแบบเดียวกันเลย
  • ถ้าในอนาคตอุตสาหกรรมหันมาสนใจ XMPP federation กูเกิลก็ยินดีพัฒนาซอฟต์แวร์ของตัวเองให้รองรับอีกครั้ง
  • กูเกิลยังบอกว่า "ความเปิด" ของ Google Talk ยังก่อให้เกิดปัญหาการใช้งาน เช่น สแปม
  • ข้อจำกัดของ XMPP ทำให้กูเกิลไม่สามารถสร้างผลิตภัณฑ์ที่รองรับการสื่อสารหลายๆ แบบ เช่น เสียง-วิดีโอ ได้แบบเดียวกับ Hangouts รวมถึง XMPP ไม่ได้ออกแบบมาสำหรับยุคอุปกรณ์พกพาที่แบนด์วิธและแบตเตอรี่เป็ฯสิ่งสำคัญ

อย่างไรก็ตาม กูเกิลไม่ได้ชี้แจงในประเด็นอื่นๆ ของ EFF เช่น การเข้ารหัสข้อความ และการบังคับเก็บบันทึกการสนทนา รวมถึงไม่ได้ตอบข้อเรียกร้องของ EFF ที่ต้องการให้เปิดข้อมูล-ซอร์สของ Hangouts

ที่มา - PC World

Tags:
EFF

จากกรณี Google อาจกำลังยกเลิกการสนับสนุน XMPP API ใน Google+ Hangouts ทางมูลนิธิ Electronic Frontier Foundation (EFF) ก็ออกมาโวยกูเกิลใน 3 ประเด็นดังนี้

  • Hangouts ตัดการสนับสนุนโพรโทคอล XMPP แบบ federation (ตั้งเซิร์ฟเวอร์ XMPP เองและให้เซิร์ฟเวอร์ส่งข้อความต่อๆ กัน) รองรับเฉพาะการเชื่อมต่อกับเซิร์ฟเวอร์ของกูเกิลเท่านั้น ทำให้เสียประโยชน์เรื่องการสนทนาแบบกระจายศูนย์ (decentralization) ที่ไม่ล็อคบริการกับบริษัทใดบริษัทหนึ่ง
  • Hangouts ตัดฟีเจอร์การเข้ารหัสคำสนทนา (OTR หรือ Off-the-Record) ที่เคยมีใน Google Talk ออก จึงเกิดปัญหาสำหรับคนที่ต้องการความเป็นส่วนตัวหรือความลับในการสนทนา
  • Hangouts เปลี่ยนวิธีเก็บประวัติการสนทนา โดยเลือกปิดฟีเจอร์นี้สำหรับคู่สนทนาเป็นคนๆ ไป และมีตัวเลือกเฉพาะในแอพ Hangouts ของกูเกิลเองเท่านั้น ผู้ใช้ IM client ตัวอื่นไม่สามารถตั้งค่าตรงนี้ได้
Tags:
FBI

ปัญหาความเป็นส่วนตัวของสหรัฐฯ มีประเด็นในช่วงหลังเมื่อเอฟบีไอใช้ช่องทางการขอข้อมูลด้วยจดหมายความมั่นคง (National Security Letters - NSLs) เพื่อสั่งให้บริษัทโทรคมและหน่วยงานทางการเงินให้เปิดเผยข้อมูลส่วนบุคคลโดยไม่ต้องผ่านการพิจารณาของศาล ล่าสุด EFF ฟ้องร้องต่อศาลแคลิฟอร์เนียชนะ โดยผู้พิพากษา Susan Illston สั่งให้หน่วยงานเพิกถอนจดหมายเหล่านี้และหยุดการออกจดหมายเพิ่มเติมภายใน 90 วัน

จดหมาย NSLs ออกโดยอาศัยอำนาจภายใต้กฎหมาย Patriot Act แต่ในการพิพากษารอบนี้ระบุว่าอำนาจนี้ขัดต่อรัฐธรรมนูญ อย่างไรก็ดีระยะเวลา 90 วันที่ศาลให้กับเอฟบีไอ ทำให้เอฟบีไอสามารถยื่นเรื่องเข้าสู่ศาลอุทธรณ์ได้

Tags:
EFF

William Weber ผู้ดูแลระบบไอทีชาวออสเตรีย ถูกตำรวจบุกค้นบ้านและตั้งข้อหาแพร่กระจายภาพอนาจารเด็ก จากการที่เขาเปิดเซิร์ฟเวอร์ exit node ให้กับโครงการ Tor

Weber ระบุว่าเขาเป็นผู้ดูแลเครื่อง exit node ประมาณ 5-10 เครื่องกระจายตัวไปทั่วโลก ทั้ง เชค, โปแลนด์, ยูเครน, ออสเตรีย, และฮ่องกง โดยรวมทั้งหมดมีทราฟิกประมาณ 30 เทราไบต์ต่อวัน

Tor เป็นโครงการที่ได้รับการสนับสนุนจาก EFF เพื่อสร้างเครือข่ายที่เข้ารหัสและปกปิดตัวตนของผู้เชื่อมต่อ โดยแต่ละโหนดจะรู้เพียงที่มา "ก่อนหน้า" ที่ข้อมูลจะมาถึงตัวเอง และรู้โหนด "ถัดไป" ที่ต้องส่งต่อเท่านั้น แต่ไม่รู้เส้นทางรวมทั้งหมดหรือข้อมูลภายในที่ต้นทางและปลายทางสื่อสารถึงกัน แต่สำหรับ exit node จะเป็นทางออกจากเครือข่าย Tor จุดสุดท้ายที่ไม่มีการเข้ารหัส หากตำรวจดักจับการดาวน์โหลดก็จะพบว่ามาจาก exit node เหล่านี้

Weber ระบุว่าเขากำลังต้องการความช่วยเหลือด้านการเงินเพื่อต่อสู้คดี โดยคาดว่าคดีนี้จะมีค่าใช้จ่าย 5,000-10,000 ดอลลาร์ ผู้ร่วมบริจาคสามารถอาศัยช่องทาง BitCoin, โดยผ่านธนาคาร, และ Paypal

ที่มา - ArsTechnica, Raided4Tor, LowEndTalk

Tags:
Apple

Electronic Frontier Foundation (EFF) องค์กรด้านสิทธิเสรีภาพในโลกดิจิทัล เขียนบล็อกเรียกร้องไปยังแอปเปิลให้เปิดกว้างผลิตภัณฑ์ของตัวเองมากกว่านี้

EFF เปรียบเทียบผลิตภัณฑ์ของแอปเปิลในช่วงหลัง โดยเฉพาะตระกูล iOS ว่าเหมือนกับ "คุกกระจกอันสวยงาม" (beautiful crystal prisons) ที่มีข้อจำกัดปิดกั้นสิทธิของผู้ใช้มากมาย เว้นเสียแต่ว่าผู้ใช้จะทำการ jailbreak เพื่อหลบเลี่ยงข้อจำกัดเหล่านี้

EFF ยกตัวอย่างข้อจำกัดหลายประการของ iOS ซึ่งคนแถวนี้คงรู้กันดีอยู่แล้ว เช่น การจำกัดให้ลงแอพเฉพาะจาก App Store เท่านั้น โดยแอปเปิลควบคุมการส่งแอพเข้า App Store เองทั้งหมด, เงื่อนไขการปรับแก้ไฟล์ไบนารีของ App Store ที่ไม่สอดคล้องกับสัญญาอนุญาตแบบโอเพนซอร์ส และการกีดกันไม่ให้ผู้ใช้ jailbreak อุปกรณ์ของตน เป็นต้น

นอกจากนี้ EFF ยังพูดถึงแนวทางการพัฒนา Mac OS X ที่เริ่มปิดกั้นขึ้นเรื่อยๆ ตามอย่าง iOS โดยเฉพาะใน Mac OS X Mountain Lion ที่มีแนวคิดต้อง sign ก่อนแอพพลิเคชันจึงจะรันได้ (สำหรับคนส่วนใหญ่)

Tags:
EFF

ข่าวนี้ออกจะยากสักหน่อย แต่เป็นสำหรับผู้ที่ต้องระวังเรื่องความปลอดภัยข้อมูลมากๆ คือเมื่อเดือนที่ผ่านมา มีการตีพิมพ์งานวิจัยว่าในอินเทอร์เน็ตนั้น ใบรับรอง SSL จำนวนหนึ่งประมาณ 2 ใบในทุกๆ 1,000 ใบสามารถถูกเจาะได้โดยง่าย โดยมีสาเหตุมาจากตัวสุ่มเลขหลายๆ ครั้งมีความสามารถในการสุ่มไม่เพียงพอ ทำให้เกิดการใช้จำนวนเฉพาะ (prime number) ที่ซ้ำกันในใบรับรองหลายใบ ทำให้การแฮกข้อมูลที่เข้ารหัสด้วยใบรับรองเหล่านี้ทำได้ง่ายมาก

กระบวนการเข้ารหัสด้วยอัลกอริทึม RSA นั้นมีหลักการสำคัญคือต้องมีจำนวนเฉพาะขนาดใหญ่มากๆ สองตัวที่สุ่มเลือกขึ้นมา ตัว public key ของ RSA นั้นเป็นผลลัพธ์ที่ได้มาจากการคูณตัวเลขจำนวนเฉพาะสองตัวจนมีขนาดใหญ่มากถึง 1024 บิต ทำให้การแยกผลคูณจำนวนเฉพาะนั้นทำได้ยากมาก แต่หากการเลือกจำนวนเฉพาะนั้นไม่สุ่มพอ แฮกเกอร์ก็อาจจะใช้จำนวนเฉพาะที่รู้อยู่ก่อนว่ามีการใช้งานมาหารเพื่อให้ตัวประกอบเฉพาะออกมาได้

Tags:
EFF

EFF (The Electronic Frontier Foundation) ได้เปิดตัวเวอร์ชัน 2.0 ของ "HTTPS Everywhere" สำหรับ Firefox และเวอร์ชันทดลองสำหรับ Chrome ซึ่งได้รวมเอาการอัพเดทที่สำคัญที่จะช่วยในการแจ้งเตือนผู้ใช้เกี่ยวกับความปลอดภัยในการใช้เว็บไซต์ต่างๆ

HTTPS Everywhere นั้นเป็นส่วนขยายของเบราว์เซอร์ที่ได้รับการติดตั้งมากกว่าหนึ่งล้านครั้งตั้งแต่การเปิดตัวครั้งแรกในปี 2010 ซึ่งเป็นการทำงานร่วมกันกับ Tor Project ซึ่ง HTTPS Everywhere มีการทำงานในการสลับการใช้งานระหว่าง HTTP และ HTTPS/SSL เมื่อใดก็ตามที่เป็นไปได้หรือมีการรองรับการใช้งานแบบ HTTPS/SSL เพื่อเพิ่มความปลอดภัยและความเป็นสวนตัวให้กับผู้ใช้งาน โดยผู้อ่านสามารถเข้าไปดาวน์โหลดและอัพเดทเวอร์ชันใหม่ได้ที่ EFF.org ครับ

ที่มา - Help Net Security

Tags:
EFF

หลังจากที่ผู้จดทะเบียนโดนเมนหลายรายเริ่มมีปฏิกิริยาไม่พอใจต่อ GoDaddy ทาง EFF เองก็ได้ออกแคมเปญ #MoveYourDomain โดยผู้ให้บริการจดทะเบียนโดเมนรายอื่นๆ ได้ลดแลกแจกแถมและหักรายได้ส่วนหนึ่งมอบให้ EFF งานนี้ Namecheap หนึ่งในผู้ให้บริการรายใหญ่ได้ออกคูปอง #SOPAsucks ประกาศจำนวนโดเมนที่ย้ายเข้าไปกว่า 25,000 ชื่อ พร้อมกับยอดบริจาคจำนวน $64,180 ($2 ต่อโดเมน)

ขณะนี้ยังไม่มีรายงานอย่างเป็นทางการว่าโดนเมนถูกย้ายออกไปทั้งหมดเท่าใด

ที่มา - Namecheap, EFF

Tags:
EFF

ข่าวใบรับรอง SSL ถูกเจาะในรูปแบบต่างๆ นั้นเริ่มเกิดขึ้นบ่อยครั้งในช่วงหลัง เพราะเว็บต่างๆ ก็เริ่มใช้ HTTPS มากขึ้นเรื่อยๆ เช่นกรณีล่าสุดของ DigiNotar ทำให้ EFF (Electronic Frontier Foundation) อัพเดตปลั๊กอิน HTTPS Everywhere สำหรับไฟร์ฟอกซ์ที่แต่เดิมจะทำหน้าที่เลือกบริการเข้ารหัสในกรณีที่เว็บมีบริการทั้งแบบเข้ารหัสและไม่เข้ารหัส มาเป็นการตรวจสอบใบรับรองการเข้ารหัสด้วยว่าปลอดภัยดีหรือไม่

โครงการนี้ต่อยอดมาจากโครงการ EFF SSL Observatory ที่ตั้งข้อสังเกตว่ามีหน่วยงานที่ไม่น่าเชื่อถือจำนวนหนึ่งมีสถานะเป็นหน่วยงานออกใบรับรองได้ และเบราเซอร์หลักๆ ก็เชื่อใบรับรองจากหน่วยงานเหล่านี้อีกด้วย

ฟีเจอร์นี้ต้องเปิดเอง โดยมีเฉพาะรุ่น alpha เท่านั้นทำให้ยังมีคนใช้ฟีเจอร์นี้เพียงประมาณหมื่นคนขณะที่ HTTPS Everywhere นั้นมีคนใช้นับล้าน (ที่มาข่าวใช้คำว่า users แต่เนื่องจาก EFF ไม่ติดตามการใช้งานดังนั้นอาจจะเป็นยอดดาวน์โหลด)

ที่มา - InfoWorld

Tags:

HTTPS Everywhere เป็นส่วนเสริมของ Firefox ที่ช่วยให้เราเข้าเว็บผ่านโพรโตคอลเข้ารหัส HTTPS เพื่อความปลอดภัยที่ดีขึ้น ส่วนเสริมนี้ออกมาตั้งแต่ปีที่แล้ว (ข่าวเก่า)

โครงการ HTTPS Everywhere เป็นความร่วมมือของมูลนิธิ Electronic Frontier Foundation กับ Tor Project และมันเดินทางมาถึงรุ่น 1.0 แล้ว

การเปลี่ยนแปลงที่สำคัญในรุ่น 1.0 คือรองรับเว็บไซต์เพิ่มขึ้นอีกมาก (ตัวเลขของ EFF บอกว่ามากกว่า 1,000 เว็บไซต์) ผู้ที่ใช้ Firefox สามารถติดตั้งได้จากลิงก์แรกสุดของข่าวครับ

ที่มา - EFF

Tags:
EFF

พักหลังนี้เราจะเห็นความพยายามแบบใหม่ๆ ของรัฐบาลหลายประเทศในการปิดกั้นอินเทอร์เน็ต (อย่างของบ้านเราก็คือการสร้างหน้า 404 ปลอม) กรณีล่าสุดคือประเทศซีเรียซึ่งกำลังมีเหตุวุ่นวายทางการเมืองกับ Facebook

องค์กร EFF รายงานว่าถ้าเข้า Facebook ผ่าน HTTPS ในประเทศซีเรีย เราจะเจอกับ "Facebook ปลอม" ที่หน้าตาเหมือนกับ Facebook จริงทุกประการแทน ซึ่งเป็นเทคนิคแบบ Man-in-the-middle attack หรือการสร้าง "ตัวกลาง" ปลอมๆ ระหว่างเหยื่อและเว็บไซต์เป้าหมายที่เหยื่อต้องการจะเข้า โดยเหยื่อจะเข้าใจว่าเป็นเว็บไซต์จริงๆ และเผลอส่งข้อมูลสำคัญ (ในที่นี้คือรหัสผ่าน) ผ่านตัวกลาง

EFF รายงานว่าผู้ดำเนินการเรื่องนี้คือกระทรวงโทรคมนาคมของซีเรีย โดยผู้ให้บริการอินเทอร์เน็ตหลายเจ้าให้ความร่วมมือ