By nismod Writer on Tag: Zoom, Security, Encryption
Zoom

หนึ่งในฟีเจอร์ (เด่น?) ที่ Zoom โฆษณามาตลอดคือวิดีโอคอลจะถูกเข้ารหัสแบบ 'end to end' (ไม่มี -) ทุกครั้ง ซึ่ง Zoom ระบุเอาไว้ทั้งบนหน้าเว็บไซต์, White Paper และ UI ตอนวิดีโอคอล

อย่างไรก็ตามเมื่อ The Intercept สอบถามไปยัง Zoom เรื่องการเชื่อมต่อแบบ end-to-end ก็ได้คำตอบกลับมาว่าตอนนี้ยังทำไม่ได้ Zooom ใช้แค่ TCP ร่วมกับ UDP เท่านั้น ซึ่งเท่ากับว่า Zoom ยังสามารถเข้าถึงข้อมูลและวิดีโอผู้ใช้งานได้อยู่ ซึ่งอาจส่งผลถึงกรณีที่รัฐบาลขอข้อมูลผู้ใช้งานจาก Zoom แบบเดียวกับที่ Google, Facebook และ Microsoft โดน (แต่บริษัทเหล่านั้นมีการออกรายงาน transparency report)

By lew Founder on Tag: Apple, Privacy, Encryption, FBI, iCloud
Apple

สำนักงข่าวรอยเตอร์อ้างแหล่งข่าวไม่ระบุตัวตน 6 คน ระบุว่าแอปเปิลยกเลิกแผนที่จะให้บริการสำรองข้อมูลบน iCloud โดยเข้ารหัสแบบ end-to-end ที่จะทำให้แอปเปิลเองไม่สามารถอ่านข้อมูลใดๆ ได้ หลังจากที่ FBI แสดงความไม่เห็นด้วยเนื่องจาก FBI จะขอข้อมูลไม่ได้เช่นกัน

โครงการนี้แบ่งเป็นสองโครงการคือ Plesio และ KeyDrop มีผู้เชี่ยวชาญทำงานรวมกันประมาณสิบคน แหล่งข่าวระบุว่าผู้เชี่ยวชาญทั้งหมดหยุดพัฒนาโครงการนี้ไปแล้ว

By mk Founder on Tag: Proton, Encryption
Proton

ProtonMail บริการอีเมลแบบเข้ารหัสที่เน้นความปลอดภัย-ความเป็นส่วนตัว เปิดตัว ProtonCalendar บริการปฏิทินที่เน้นความปลอดภัยแบบเดียวกัน เข้ารหัสข้อมูลแบบ end-to-end

เมื่อเราสร้างปฏิทินหรือนัดหมายในแอพ ProtonCalendar ข้อมูลเหล่านี้จะถูกเข้ารหัสทันที ก่อนส่งไปเก็บบนเซิร์ฟเวอร์ ทำให้ไม่มีใครสามารถเข้าถึงข้อมูลของเราได้เลย นอกจากตัวเราเองเท่านั้น

ตอนนี้ ProtonCalendar ยังมีแค่เวอร์ชันเว็บ มีสถานะเป็นเบต้า เปิดให้ผู้ใช้ ProtonMail แบบเสียเงินลองใช้งาน ส่วนแอพบน Android/iOS จะตามมาในปี 2020 นี้

By sunnywalker Writer on Tag: Facebook, Encryption, Crime, Privacy
Facebook

ในงาน F8 ที่ผ่านมา เฟซบุ๊กชี้ว่า อนาคตคือความเป็นส่วนตัว แนวโน้มของแชทคือการเข้ารหัส แะยังจะเชื่อมระบบแชทระหว่าง Facebook Messenger และ WhatsApp เข้าไว้ด้วยกัน อย่างไรก็ตาม การเข้ารหัส ถูกมองว่าเป็นปัญหาเวลาสืบสวนคดีร้ายแรง เช่น ก่อการร้าย การครอบครองรูปโป๊ของผู้เยาว์

ล่าสุด อัยการสูงสุดสหรัฐฯ William P. Barr ระบุว่า กระทรวงยุติธรรม ต้องการความชอบธรรมทางกฎหมายในการจะเข้าถึง backdoor ของแอพแชทเข้ารหัส เพื่อประโยชน์ในการสืบสวนคดีร้ายแรง และยังบอกด้วยว่า บริษัทเทคโนโลยี ไม่ควรออกแบบระบบใดๆ ที่ป้องกันการสืบสวนคดี โดย Barr ได้เขียนจดหมายถึงเฟซบุ๊กและมีฝ่ายอัยการในอังกฤษและออสเตรเลียร่วมลงนามในจดหมายด้วย

By sunnywalker Writer on Tag: Mark Zuckerberg, Facebook, Privacy, Encryption
Mark Zuckerberg

Mark Zuckerberg เขียนโพสต์ยาวพูดถึงความท้าทายของ Facebook ในระยะหลังมานี้ โดยมีประเด็นสำคัญคือ อนาคตของแชทจะมีความเป็นส่วนตัว และต้องเข้ารหัส

เขาบอกว่า จากการใช้งาน Stories เพิ่มขึ้นที่โพสต์แล้วหายไป ทำให้เข้าใจพฤติกรรมของคนใช้งานว่า พวกเขาไม่ได้ต้องการให้สิ่งที่โพสต์ออนไลน์นั้นคงอยู่ตลอดไป พวกเขาต้องการสื่อสารและเผยแพร่แต่ไม่ใช่กับทุกคน แต่จะสื่อสารกันเฉพาะในวงแคบ อย่างไรก็ตาม คนใช้งานยังคงต้องการโซเชียลมีเดียไว้เข้าถึงเนื้อหา ข้อมูลข่าวสาร แรงบันดาลใจใหม่ๆ แต่กับพฤติกรรมการแชทต้องเป็นส่วนตัวมากขึ้น

By nismod Writer on Tag: Windows, Microsoft, Encryption, Hash, Cryptography
Windows

กระบวนการอัพเดตวินโดวส์ในปัจจุบันรองรับค่าแฮชทั้ง SHA-1 และ SHA-2 หากใช้วินโดวส์รุ่นเก่าอย่าง Windows 7 SP1, Windows Server 2008 R2 SP1 และ Windows Server 2008 SP2 ที่ไม่รองรับ SHA-2 ก็จะได้อัพเดตที่ยืนยันความถูกต้องของไฟล์อัพเดตด้วยการเซ็นยืนยันโค้ดแบบ SHA-1

By nutmos Writer on Tag: Signal, Privacy, Australia, Encryption
Signal

หลังจากมีประเด็นออสเตรเลียออกกฎหมายลดกำแพงการเข้ารหัส เพื่อประโยชน์ในการสืบสวนคดีร้ายแรง ก็เริ่มมีหลายฝ่ายที่ไม่เห็นด้วยกับกฎหมายฉบับนี้ โดยล่าสุดเป็นความเห็นจากผู้ให้บริการแชทเข้ารหัสความปลอดภัยสูง Signal

Joshua Lund ได้เขียนบล็อกใน Signal ระบุว่าการเดินถอยหลังในเรื่องความปลอดภัยในครั้งนี้ถือเป็นความน่าผิดหวังเป็นอย่างยิ่ง และ Signal นั้นถูกออกแบบมาไม่ให้เก็บข้อมูลอะไรอยู่แล้ว ข้อมูลทุกอย่างถูกเข้ารหัสจากต้นทางถึงปลายทาง ดังนั้นแม้แต่ Signal ก็ไม่เห็นข้อมูล และ Signal ยืนยันว่าจะไม่วาง backdoor ไว้ในระบบด้วย

By sunnywalker Writer on Tag: Australia, Encryption, Privacy, Crime, Terrorism, Apple
Australia

เป็นเรื่องสะเทือนวงการเทคโนโลยีไม่น้อย เมื่อรัฐบาลออสเตรเลียผ่านกฎหมายต้านการเข้ารหัส ผลของกฎหมายคือ บริษัทเทคโนโลยี หรือแม้กระทั่งเว็บไซต์ที่ปฏิบัติการในออสเตรเลียต้องให้ความร่วมมือกับเจ้าหน้าที่หากต้องแฮ็กเข้าอุปกรณ์ไอที ผังมัลแวร์เพื่อทำลายการเข้ารหัส เพื่อประโยชน์ต่อการสืบสวนคดี เท่านั้นยังไม่พอ กฎหมายระบุให้บริษัทห้ามเปิดเผยการทำลายการเข้ารหัสออกสู่สังคมด้วย

หากบริษัทปฏิเสธไม่ยอมทำตามจะเจอโทษปรับ 10 ล้านดอลลาร์ และ 5 หมื่นดอลลาร์สำหรับบุคคลที่ไม่ทำตาม ผู้ร่างกฎหมายบอกว่า กฎหมายฉบับนี้จะเจาะจงเฉพาะคดีร้ายแรงเช่น ก่อการร้าย ความผิดทางเพศ ยาเสพติด

By nismod Writer on Tag: Google Cloud, Encryption, Cloud Computing
Google Cloud

Google Cloud Platform เปิดตัวบริการ Cloud HSM (Hosted- Security Module) บริการฝากคีย์เข้ารหัสเอาไว้ในการ์ดผ่านคลาวด์ บนมาตรฐานความปลอดภัย FIPS 140-2

ผู้ใช้สามารถเลือกใช้ HSM จากแดชบอร์ดบน Cloud KMS ได้ทันที โดยทาง Google จะดูแลเรื่องการจัดการคลัสเตอร์, การสเกลลิ่ง, อัพเกรดและแพตช์ต่างๆ ให้อัตโนมัติ รับประกันไม่มี downtime พร้อมทำงานร่วมกับ BigQuery, Google Compute Engine, Google Cloud Storage และ DataProc

By nutmos Writer on Tag: Skype, Encryption, Chat, Signal, Privacy, Microsoft
Skype

Skype เริ่มทดสอบฟีเจอร์เข้าด้วยโปรโตคอลของ Signal ตั้งแต่ต้นปีที่ผ่านมา ล่าสุด Skype ก็เปิดฟีเจอร์นี้ให้ใช้งานอย่างเป็นทางการแล้ว ทั้งแอพบน iOS, Android และเดสก์ท็อปทั้ง Linux, Mac และ Windows

วิธีใช้การสนทนาเข้ารหัสของ Skype คือตอนกดเริ่มแชทใหม่ให้เลือก New Private Conversation หรือเข้าหน้าโปรไฟล์ของผู้ใช้ที่ต้องการสนทนาด้วยแล้วเลือก Start Private Conversation ซึ่งฝ่ายคู่สนทนาจะได้รับคำเชิญให้เข้าร่วมการสนทนา โดยในการสนทนาทั้งหมดไม่ว่าจะเป็นโทรคุยกันหรือส่งข้อความจะถูกเข้ารหัสแบบ end-to-end ทั้งหมดจนกว่าจะสั่งหยุด

By nutmos Writer on Tag: Proton, PGP, Encryption, Email
Proton

ProtonMail ประกาศเพิ่มฟีเจอร์ใหม่ในด้านความปลอดภัยเพิ่มเติมสองอย่าง คือ Address Verification สำหรับยืนยันกุญแจสาธารณะของอีเมลแอดเดรส และรองรับการส่งอีเมลเข้ารหัสแบบ PGP กับอีเมลแอดเดรสอื่นที่ไม่ได้อยู่ในระบบของ ProtonMail

ฟีเจอร์แรกคือ Address Verification โซลูชั่นเพื่อป้องกันการโจมตีแบบ Man-in-the-Middle คือเมื่อได้รับข้อความจากที่อยู่ติดต่อของ ProtonMail แล้ว และมั่นใจว่ากุญแจที่มาพร้อมอีเมลเป็นกุญแจสาธารณะของคู่สนทนาจริง สามารถกด Trust Public Key สำหรับข้อความนี้ได้ทันที โดยกุญแจสาธารณะนี้จะถูกบันทึกลงระบบที่อยู่ติดต่อแบบเข้ารหัสและเซ็นด้วยลายเซ็นดิจิทัล

By nutmos Writer on Tag: PGP, Encryption, Email, Security
PGP

Sebastian Schinzel นักวิจัยความปลอดภัยจาก Münster University of Applied Sciences พบช่องโหว่ความปลอดภัยของระบบ PGP และ S/MIME ที่ใช้เพื่อการส่งอีเมลเข้ารหัสซึ่งเป็นมาตรฐานที่ใช้กันอย่างแพร่หลาย

นักวิจัยที่ค้นพบช่องโหว่เผยว่า ช่องโหว่ที่ค้นพบล่าสุดนี้มีโอกาสที่จะแสดง plaintext ของข้อความเข้ารหัสที่เข้ารหัสแล้วออกมาได้ ซึ่งรวมถึงข้อความเข้ารหัสที่มีการส่งในอดีตด้วย และตอนนี้ยังไม่มีวิธีแก้ปัญหาดังกล่าว

By nismod Writer on Tag: Cisco, Cybersecurity, Encryption, Malware
Cisco

Cisco เปิดเผยรายงาน Cybersecurity Report ประจำปี 2018 โดยข้อมูลทั้งหมดส่วนหนึ่งมาจากฐานข้อมูลของ Cisco เอง อีกส่วนมาจากการตอบแบบสอบถามจาก Chief Information Security Officers (CISO) กว่า 3,600 คนทั่วโลก โดยมีประเด็นน่าสนใจดังนี้

  • ทราฟิคเว็บทั่วโลกมีการเข้ารหัส HTTPS กันมากขึ้นเป็น 50% จากที่ปี 2016 ที่อยู่ราว 38%
  • มัลแวร์จึงถูกเข้ารหัสมากขึ้นตามไปด้วย โดยกระบวนการเข้ารหัสเกิดขึ้นที่ไบนารีไฟล์กว่า 70%
  • Machine Learning และ AI เริ่มถูกนำมาใช้งานเพื่อรับมือภัยคุกคามมากขึ้น อย่างไรก็ตามการใช้งาน ML หรือ AI ยังอยู่ในช่วงแรกเริ่มเท่านั้น ทำให้เกิด False Positive ค่อนข้างมาก และต้องใช้เวลาเทรนด์ไปเรื่อยๆ
By nutmos Writer on Tag: Skype, Signal, Encryption, Security, Microsoft, Privacy
Skype

Microsoft ได้เพิ่มฟีเจอร์ใหม่บน Skype ในชื่อว่า Private Conversations ซึ่งเป็นการส่งข้อความแบบเข้ารหัส โดยร่วมมือกับ Open Whisper Systems นำโปรโตคอลเข้ารหัสของ Signal มาใช้งาน ซึ่งจะทำให้ Skype เป็นอีกหนึ่งแพลตฟอร์มแชทขนาดใหญ่ที่มีฟีเจอร์เข้ารหัสให้ใช้งานโดยใช้โปรโตคอลของ Signal เพิ่มเติมจากปัจจุบันที่มี WhatsApp, Google Allo และ Facebook Messenger

By lew Founder on Tag: Google Cloud, Security, Encryption
Google Cloud

กูเกิลเปิดเอกสารรายละเอียดในภาพใหญ่ของกระบวนการเข้ารหัสระหว่างบริการภายใน Application Layer Transport Security (ALTS) ที่ใช้ยืนยันตัวตนระหว่างบริการต่างๆ ของกูเกิลเอง

กูเกิลระบุว่าเหตุผลที่ต้องออกแบบ ATLS มาใช้งานเอง คือ การยืนยันที่ระดับแอปพลิเคชั่น ในขณะที่การเชื่อมต่อ TLS นั้นมักเป็นการยืนยันตัวตนในระดับเครื่อง, กระบวนการกลับมาส่งข้อมูลหลังเชื่อมต่อครั้งแรกไปแล้ว เพราะบริการภายในของกูเกิลมีการเรียกข้อมูลระหว่างเครื่องซ้ำๆ จำนวนมาก, และการลดค่าใช้จ่ายในการเข้ารหัสเมื่อต้องเปิดช่องทางเรียกข้อมูลเป็นเวลานานๆ

By sunnywalker Writer on Tag: ESET, Encryption, Cybersecurity, Thailand
ESET

ESET ผู้พัฒนาซอฟต์แวร์ระบบรักษาความปลอดภัยไซเบอร์ เผยผลสำรวจภัยคุกคามทางไซเบอร์กับกลุ่มธุรกิจขนาดกลางและเล็ก หรือ ESET 2017 SMBs survey พบว่ากลุ่มธุรกิจขนาดกลางและเล็กในประเทศไทยเสี่ยงต่อการเกิดข้อมูลรั่วไหลจากการโจมตีทางไซเบอร์ในรูปแบบการเข้ารหัสมากที่สุดในภูมิภาค

ESET ส่งแบบสำรวจไปยังบริษัท 1,500 แห่ง ในจำนวนนี้มีบริษัทขนาดเล็กและกลางตอบกลับจำนวน 300 ราย กระจายอยู่ในประเทศต่างๆ คือ สิงคโปร์, ฮ่องกง, อินเดีย, ไทยและญี่ปุ่น และจากการสำรวจพบว่า ธุรกิจขนาดกลางและเล็กในประเทศไทยประสบปัญหาข้อมูลรั่วไหลสู่ระบบไซเบอร์เป็นสัดส่วนสูง 92% เผยว่าปัญหาเป็นเรื่องเกี่ยวกับการเข้ารหัส ส่วนญี่ปุ่นที่มีอัตราส่วนอยู่ที่ 72% อินเดีย 61% ฮ่องกง 57% และสิงคโปร์ 43%

By sunnywalker Writer on Tag: FBI, Encryption, Terrorism, Crime
FBI

ประเด็นระหว่าง FBI และ Apple ถูกจุดขึ้นมาอีกครั้ง เมื่อ FBI ไม่สามารถเข้าข้อมูลมือปืนก่อเหตุกราดยิงที่โบสถ์ในเท็กซัสเมื่อวันที่ 5 พ.ย. ที่ผ่านมา มีผู้เสียชีวิต 26 ราย อย่างไรก็ตามเจ้าหน้าที่ไม่ได้บอกว่ามือปืนใช้โทรศัพท์อะไร

Christopher Combs เจ้าหน้าที่ FBI ให้สัมภาษณ์สื่อว่า ความก้าวหน้าของเทคโนโลยีและการเข้ารหัส รวมถึงการบังคับใช้กฎหมายในระดับรัฐท้องถิ่นและระดับรัฐบาลกลาง ส่งผลให้ FBI ไม่สามารถเข้าถึงข้อมูลโทรศัพท์เพื่อการสอบสวนได้

By sunnywalker Writer on Tag: FBI, Encryption, Smartphone
FBI

FBI เผยตัวเลขอุปกรณ์ที่ไม่สามารถเจาะเข้าไปดูข้อมูลเพื่อการสืบสวนคดี มีจำนวน 6,900 อุปกรณ์ในช่วง 1 ปี ซึ่งมากกว่าครึ่งของอุปกรณ์ทั้งหมดที่ FBI ต้องเข้าไปสืบสวน ถือเป็นการจุดประเด็นระหว่างหน่วยงานสืบสวน กับความเป็นส่วนตัวขึ้นมาอีกครั้งหลังจากคดีก่อการร้ายที่ San Bernardino ในปี 2016

Christopher Wray ผู้อำนวยการ FBI กล่าวในงาน International Association of Chiefs of Police ว่านี่เป็นปัญหาใหญ่ต่อการสืบสวนคดีร้ายแรง ไม่ว่าจะเป็น ก่อการร้าย ยาเสพติด ค้ามนุษย์ การแสวงหาผลประโยชน์จากเด็ก เราเข้าใจว่ามันต้องมีจุดสมดุลระหว่างการเข้ารหัสเพื่อความเป็นส่วนตัว กับความต้องการรักษาสังคมให้ปลอดภัย

By mk Founder on Tag: Adobe, Encryption, Security, PKI
Adobe

ทีมความปลอดภัยของ Adobe ทำผิดพลาดอย่างแรง ด้วยการโพสต์ private key ลงบนบล็อก Adobe Product Security Incident Response Team ของบริษัท

ปกติแล้วเวลาสร้างกุญแจ PGP เราจะได้ text file ที่มีคีย์ public/private วางต่อกันอยู่ในไฟล์เดียว คาดว่าทางพนักงานของ Adobe จะโพสต์เฉพาะ public key แต่เลือกคัดลอกข้อความมาทั้งไฟล์ เลยมี private key แถมมาด้วย

โชคดีว่า private key อันนี้ต้องใช้คู่กับ passphrase ทำให้มันไม่สามารถใช้งานได้ลำพัง และตัวมันเองเป็นคีย์ใหม่ที่เพิ่งถูกสร้างขึ้นเพียง 3 วัน (เพื่อใช้แทนคีย์เก่าที่หมดอายุไป) และหลังเกิดเหตุ Adobe ก็ยกเลิกคีย์ตัวนี้แล้ว

Subscribe to Encryption