Tags:
Chrome

จากข่าว พบช่องโหว่บน Chrome เผยรหัสผ่านที่ถูกบันทึกไว้, กูเกิลบอกรับทราบแต่ไม่แก้ ทางทีมพัฒนาของ Google Chrome ได้ออกมาชี้แจงเหตุผลแล้ว

Google บอกว่าถ้ามีผู้ไม่หวังดีสามารถเข้ามาใช้งานเครื่องได้แล้ว เขาสามารถที่จะเอาข้อมูล cookie, history รวมถึงสามารถติดตั้งซอฟต์แวร์หรือ extension ที่เอาไว้ดักข้อมูลพฤติกรรมการใช้งานเบราว์เซอร์ได้อยู่แล้ว ดังนั้นเมื่อไหร่ก็ตามที่ผู้ไม่หวังดีสามารถเข้าถึงเครื่องได้ เกมจบทันที นอกจากนี้ยังบอกอีกว่า มีคนเรียกร้องฟังก์ชัน master password มานานแล้ว แต่ที่ Google ไม่ทำ เพราะการที่มีฟังก์ชันดังกล่าวนั้นจะทำให้ผู้ใช้เข้าใจผิดว่าการตั้ง master password แล้วให้คนอื่นมาใช้เครื่องนั้นมีความปลอดภัย ทั้งที่จริงๆ แล้วมันไม่ปลอดภัยเลย

ดูท่าทางแล้ว คนที่หวังจะให้ Chrome มีระบบ master password คงเป็นไปได้ยาก ทางที่ดีที่สุดในเวลาที่มีคนอื่นมายืมใช้คอมคือต้องสลับให้ไปใช้ user account อื่นแทนครับ

ที่มา - SC Magazine, Hacker News

Tags:
Chrome

หนังสือพิมพ์ The Guardian รายงานว่า มีการค้นพบช่องโหว่ในเบราว์เซอร์ Chrome ที่ยอมให้ใครก็ได้ที่สามารถเข้าถึงคอมพิวเตอร์ได้สามารถดูรหัสผ่านเพื่อการล็อกอินเข้าโปรไฟล์อีเมล เว็บสังคมออนไลน์ ฯลฯ จากหน้าการตั้งค่าได้โดยที่ไม่ต้องระบุตัวตนก่อน

การเรียกดูรหัสผ่านนั้นก็ง่ายแสนง่าย โดยผู้ใช้เพียงไปที่หน้า Settings เลือกมุมมองการตั้งค่าขั้นสูง ไปที่ส่วน Passwords and forms คลิกปุ่ม Manage saved passwords เพื่อเข้าส่วนจัดการรหัสผ่านที่ถูกบันทึกไว้ ถึงแม้รหัสผ่านจะถูกซ่อนไว้ในรูปดอกจัน แต่หากผู้ใช้คลิกที่รหัสผ่านและคลิกปุ่ม Show ก็จะเห็นรหัสผ่านได้เลย

The Guardian อ้างคำพูดของ Justin Schuh หัวหน้าทีมพัฒนา Chrome ว่ากูเกิลตระหนักถึงช่องโหว่นี้แต่ไม่มีแผนจะแก้ไขมัน Tim Berners-Lee นักฟิสิกส์ผู้ออกแบบ HTML และเว็บให้สัมภาษณ์ว่าน่าผิดหวังเป็นอย่างยิ่งต่อการตอบสนองของกูเกิล

ถึงแม้ผู้บุกรุกจะต้องเข้าถึงคอมพิวเตอร์เพื่อดูรหัสผ่านของคนอื่น (เข้าถึงเครื่องโดยตรงหรือรีโมตจากระยะไกล) แต่ก็มีเครื่องคอมพิวเตอร์จำนวนมากที่ถูกแบ่งปันให้ใช้ร่วมกันในที่บ้านหรือที่ทำงาน นอกจากนั้นถึงจะกล่าวว่าใครก็ตามที่สามารถเข้าถึงคอมพิวเตอร์ได้ก็สามารถล็อกอินเข้าเว็บไซต์โดยใช้ข้อมูลชื่อผู้ใช้และรหัสผ่านที่ถูกบันทึกไว้ในเบราว์เซอร์ แต่การที่สามารถมองเห็นรหัสผ่านได้โดยตรงก็ทำให้ผู้ไม่ประสงค์ดีสามารถจดรหัสไปเข้าถึงข้อมูลผู้ใช้บนโลกอินเทอร์เน็ตในภายหลังได้

ที่มา: หนังสือพิมพ์ The Guardian ผ่าน 9to5Mac

Tags:
OpenX

OpenX ซอฟต์แวร์โอเพนซอร์สสำหรับทำเซิร์ฟเวอร์โฆษณา พบว่าเว็บไซต์ openx.org ของตัวเองถูกเจาะ และไฟล์ไบนารีของ OpenX 2.8.10 เวอร์ชันล่าสุดที่แจกบนเว็บไซต์ถูกเปลี่ยนเป็นเวอร์ชันที่ฝังโค้ด backdoor เข้ามาด้วย

โครงการ OpenX จึงออกเวอร์ชัน 2.8.11 และเตือนให้ผู้ใช้ OpenX 2.8.10 อัพเดตกันทันที ส่วน OpenX รุ่นเสียเงิน (OpenX Enterprise หรือ OpenX Market) ไม่มีปัญหาจากกรณีนี้

ที่น่ากลัวคือ OpenX 2.8.10 ถูกเจาะตั้งแต่เดือนพฤศจิกายน 2012 ซึ่งแปลว่าระหว่างนี้มีผู้ใช้ OpenX จำนวนมากทั่วโลกที่มีรูรั่วให้แฮ็กเกอร์เข้าไปล้วงข้อมูลได้นั่นเองครับ

ที่มา - OpenX, Sucuri

Tags:
SSL

ทีมวิจัยความปลอดภัยจากบริษัท artemis นำเสนอความก้าวหน้าในวงการรหัสวิทยาในช่วงหลัง และคาดว่ากระบวนการแยกตัวประกอบตัวเลขขนาดใหญ่นั้นน่าจะมีการปรับปรุงประสิทธิภาพขึ้นอย่างมากภายในห้าปีข้างหน้า

กระบวนการแยกตัวประกอบเป็นกระบวนการสำคัญในการเข้ารหัสแบบกุญแจไม่สมมาตร RSA และการแลกเปลี่ยนกุญแจ (key exchange) แบบ Diffie Hellman โดย RSA นั้นประกาศ "ผลคูณ" ของเลขจำนวนเฉพาะสองจำนวนเป็นกุญแจสาธารณะ โดยเชื่อว่าการแยกตัวประกอบนั้นทำได้ยาก โดยยังไม่มีการพิสูจน์ว่าการแยกตัวประกอบนั้นเป็นงาน "ยาก" ในทางคณิตศาสตร์ จริงหรือไม่ และความเชื่อใจใน RSA ทุกวันนี้ก็มาจากความเชื่อว่ากระบวนการที่มีประสิทธิภาพนั้นยังไม่ถูกค้นพบ

Tags:
Tor

จากข่าว FBI ใช้ช่องโหว่ Firefox ตามจับกุมผู้แพร่กระจายภาพอนาจารเด็กใน Tor ถือเป็นปัญหาสำคัญสำหรับเครื่องมือนิรนามอย่าง Tor ที่มีช่องโหว่จนตามเจอตัวผู้ใช้งานได้

ล่าสุด Tor รุ่นผนวกรวมเบราว์เซอร์ (Browser Bundle) ก็ออกอัพเดตแก้ช่องโหว่นี้แล้ว โดยโครงการ Tor เองแนะนำให้ผู้ใช้อัพเดตซอฟต์แวร์เป็นรุ่นล่าสุดเสมอ, ปิดการทำงานของ JavaScript ถ้าไม่จำเป็น, ควรใช้ระบบปฏิบัติการแบบ live image แทนการติดตั้งระบบปฏิบัติการตามปกติ, และหลีกเลี่ยงการท่องเว็บบนวินโดวส์

ที่มา - Tor Mailing List, IT World

Tags:
Twitter

Twitter รองรับการล็อกอินสองชั้นหรือ two-step verification มาได้สักระยะหนึ่งแล้ว แต่กระบวนการยืนยันตัวตนยังจำกัดเฉพาะ SMS เท่านั้น ทำให้ยุ่งยากพอสมควรสำหรับคนที่อยู่ต่างประเทศ-ใช้งานหลายบัญชี-มือถือหาย

วันนี้ Twitter เพิ่มทางเลือกในการยืนยันตัวตนผ่านแอพ Official Twitter ของตัวเอง (เบื้องต้นใช้ได้บน iOS/Android ที่มีอัพเดตวันนี้เช่นกัน) กระบวนการคือเมื่อเราล็อกอินบนเว็บไซต์ twitter.com แล้วแอพจะขึ้นข้อความแจ้งเตือนให้ยืนยันว่าเป็นตัวเราจริงๆ หรือไม่ (จำเป็นต้องใช้อินเทอร์เน็ตด้วย)

Twitter for iOS/Android รุ่นล่าสุดยังเพิ่มหน้า Gallery เมื่อค้นหารูปภาพ และช่วยแนะนำ social context เวลาค้นหาข้อมูลด้วย

ที่มา - Twitter Blog, สำหรับผู้สนใจเทคนิคด้านความปลอดภัยที่ Twitter ใช้ อ่านรายละเอียดที่ Twitter Engineering Blog

Tags:
FBI

จากข่าวเก่าที่มีการอ้างอิงว่า FBI เป็นผู้ใช้ช่องโหว่ของ Firefox ในการจับกุมผู้แพร่กระจายภาพอนาจารเด็กใน Tor นักพัฒนาด้านความปลอดภัย Vlad Tsyrklevich ได้ทำการวิศวกรรมย้อนกลับกับตัว payload ซึ่งเป็นโปรแกรมขนาดเล็กที่มักใช้ในการเข้าถึงคอมพิวเตอร์เป้าหมายเมื่อมีการแฮกสำเร็จและพบว่า มีการให้ payload เชื่อมต่อไปยังไอพี 65.222.202.54:80 เนื่องจากเมื่อมีการเชื่อมต่อผ่าน HTTP โดยตรงหมายความว่าผู้เชื่อมต่อจะต้องเปิดเผยไอพีที่แท้จริงออกมาด้วย

Baneki Privacy Labs พบข้อมูลเพิ่มเติมว่าไอพีดังกล่าวนี้มีบริษัท Science Applications International Corporation (SAIC) เป็นเจ้าของ ซึ่งบริษัทนี้ก็เป็นคู่สัญญากับ FBI, DARPA, CIA และ NSA และเมื่อมีการขุดลึกลงไปอีกก็พบว่า มีความเป็นไปได้สูงที่ไอพีดังกล่าวนี้จะเชื่อมต่อโดยตรงกับกลุ่มเครือข่ายภายในของ NSA ซึ่งก็เป็นไปได้สูงว่าอาจเป็น NSA ที่ใช้ช่องโหว่นี้มากกว่า FBI

ที่มา - The Hacker News

Tags:
Facebook

ผู้ให้บริการทั่วโลกมีแนวทางการให้รางวัลกับผู้ที่พบบั๊กกันมากขึ้นเรื่อยๆ เฟซบุ๊กเองแม้มีโครงการนี้มานานแต่ก็ไม่ได้เปิดเผยออกมาภายนอกมากนัก รายงานล่าสุดระบุว่ามีการจ่ายเงินรางวัลไปแล้วกว่าล้านดอลลาร์ สรุปเป็นรายการได้ดังนี้

  • มีผู้ได้รับรางวัลทั้งหมด 329 คน
  • มี 2 คนในจำนวนนี้เข้าเป็นพนักงานในทีมระบบความปลอดภัย
  • ผู้รับรางวัลที่อายุน้อยที่สุดคือ 13 ปี
  • จำนวนผู้ได้รับรางวัลมาจาก สหรัฐฯ, อินเดีย, อังกฤษ, ตุรกี, และเยอรมัน ตามลำดับ
  • รางวัลที่ใหญ่ที่สุดคือ 20,000 ดอลลาร์
  • แต่ผู้ที่ได้รับรางวัลรวมกันสูงสุด ได้รับเกิน 100,000 ดอลลาร์แล้ว

ตัวอย่างบั๊กหนึ่งที่เคยมีการจ่ายเงินรางวัล คือ บั๊กการบล็อคผู้ใช้อื่นในกรุ๊ป, เมื่อผู้ใช้เข้าร่วมกรุ๊ปแล้วบล็อคผู้ใช้คนอื่นออกทั้งหมด เฟซบุ๊กจะคิดว่าเหลือผู้ใช้ในกรุ๊ปคนเดียว และให้สิทธิแอดมินกับผู้ใช้คนนั้นโดยอัตโนมัติ บั๊กนี้ผู้รายงานได้รับรางวัล 10,000 ดอลลาร์

ที่มา - Facebook Security

Tags:
FBI

Eric Eoin Marques วัย 28 ปีชาวไอริชถูก FBI จับกุมด้วยความผิดฐานเผยแพร่ภาพอนาจารเด็ก ซึ่งเชื่อกันว่า Marques เป็นผู้ดูแลของ Freedom Hosting ซึ่งเป็นโฮสต์ที่ให้บริการในเครือข่าย Tor ที่ใหญ่ที่สุด และยังเชื่อกันว่าเป็นผู้เผยแพร่สื่อลามกเด็กที่ใหญ่ที่สุดในโลกด้วย

สิ่งที่น่าสนใจคือความนิรนามบนเครือข่าย Tor นั้นถูกพังทลายลงได้อย่างไร จากการตรวจสอบจากผู้ใช้ทั่วโลกพบว่า มีการฝังโค้ดเพื่อใช้การโจมตีช่องโหว่ของ Firefox ESR เวอร์ชัน 17 ในเว็บไซต์โดเมน .onion ซึ่งทำงานอยู่ในเครือข่าย Tor กว่าครึ่งของเครือข่ายทั้งหมด เนื่องจากชุดโปรแกรม Browser Bundle ของ Tor นั้นใช้ Firefox ESR รุ่นเดียวกันนี้เป็นไคลเอนต์ในการเชื่อมต่อ เมื่อผู้ใช้งานมีการคลิกเข้าหน้าเพจเหล่านี้จะมีการเก็บค่า MAC Address และโฮสต์เนมของเครื่องผู้ใช้เอาไว้เพื่อแกะรอยหาไอพีที่แท้จริง โดยเชื่อกันว่านี่เป็นฝีมือของ FBI

ในขณะนี้ทาง Tor Project ได้มีการปล่อยชุดโปรแกรม Browser Bundle หลังจากแพตซ์ช่องโหว่ดังกล่าวแล้ว ส่วนในเรื่องทางกฎหมายนั้นก็จะมีการส่งตัว Marques มาดำเนินคดีในสหรัฐฯ ต่อไป

ที่มา - The Tor Blog via The Hacker News

Tags:
Samsung

ในงานสัมมนาด้านความปลอดภัย Black Hat ที่จัดขึ้นที่ลาส เวกัส สหรัฐอเมริกา นักวิจัยด้านความปลอดภัยนามว่า Aaron Grattafiori และ Josh Yavor แห่ง iSEC Partners ได้สาธิตวิธีการเจาะระบบของสมาร์ททีวียี่ห้อซัมซุงในรุ่นปี 2012 เพื่อบังคับให้เปิดกล้องของตัวเครื่องสมาร์ททีวีและเข้าไปล้วงข้อมูลในแอพสังคมออนไลน์ต่าง ๆ เช่น Facebook, Twitter หรือแม้แต่ Skype นอกจากนี้ยังสามารถเข้าถึงไฟล์และระบบการทำงานเบื้องต้นของสมาร์ททีวีได้อีกด้วย

นาย Grattafiori ได้ให้สัมภาษณ์กับสำนักข่าว Mashable ว่า "โดยปกติแล้วทีวีจะมีผู้ใช้จริง ๆ แค่คนเดียว และในบางกรณีก็สามารถเข้าถึงระบบ Smart Hub ซึ่งเป็นตัวระบบจริง ๆ ของสมาร์ททีวีของซัมซุง โดยวิธีการเจาะนั้นใช้คำร้องขอแบบเดียวกันในทุก ๆ คนที่ใช้งาน" ซึ่งจากคำพูดนี้ก็เท่ากับว่า แฮกเกอร์ก็เปรียบเสมือนว่า กำลังถือรีโมตอีกตัวหนึ่งอยู่

Tags:

Crytek สตูดิโอพัฒนาเกมจากเยอรมนีประกาศปิดเว็บไซต์บางส่วนที่เกิดพฤติกรรมแปลกๆ 4 เว็บไซต์คือ Crytek.com , Mycryengine.com , Crydev.net และ MyCrysis.com จึงทำให้ 4 เว็บไซต์อยู่ในสถานะออฟไลน์

Crytek บอกว่าเริ่มมีพฤติกรรมที่น่าสงสัยทางเจ้าหน้าที่จึงได้ปิดเว็บไซต์อย่างรวดเร็วเนื่องจากเหตุผลด้านความปลอดภัย Crytek เตือนว่าควรให้เปลี่ยนรหัสผ่านตั้งแต่ตอนนี้ และเว็บไซต์อาจจะกลับมาใช้งานได้เร็วๆนี้

ที่มา - VG247

Tags:
Android

หลังจากที่กูเกิลเซอร์ไพรส์ผู้พัฒนาแอพพลิเคชันสายความปลอดภัยด้วยการประกาศเปิดตัว Android Device Manager ไปเมื่อวานนี้ ในวันนี้กูเกิลก็เริ่มส่งแอพพลิเคชันให้ผู้ใช้งานแล้วครับ

โดยแอพพลิเคชันนี้จะฝังมากับ Google Play Service ตัวใหม่ที่อัพเดตตัวเองตลอดเวลา ผู้ใช้ที่ได้อัพเดตนี้แล้ว ในหน้าเมนูการตั้งค่า จะมีเมนูที่ชื่อว่า Device Manager ขึ้นมาเพิ่มเติม ซึ่งเมื่อเลือกไปแล้ว ครั้งแรกตัว Android จะสั่งให้เราทำการเพิ่ม Android Device Manager เข้าเป็น Device Administrator ถึงจะเริ่มใช้งานได้ครับ

ใครที่ไม่มั่นใจว่ากูเกิลส่งอัพเดตมาให้หรือยังนั้น ก็เข้าไปดูกันเองได้ในส่วนของการตั้งค่านะครับ

ที่มา - Android Central

Tags:
SSL

นักวิจัยความปลอดภัยนำเสนอกระบวนการเจาะการเข้ารหัสเพื่อหาข้อความในเว็บที่เข้ารหัส HTTPS ได้ภายใน 30 วินาทีที่งาน Black Hat

BREACH อาศัยการดักฟังผู้ใช้ที่เข้าเว็บที่เข้ารหัสและบีบอัดข้อมูลแบบ DEFLATE ซึ่งเบราว์เซอร์รองรับเป็นมาตรฐาน และต้องบังคับให้ผู้ใช้เข้าเว็บที่มีสคริปต์ฝังอยู่ ซึ่งหากดักฟังแล้วก็ทำได้ง่ายเพราะใช้การโจมตีแบบ man-in-the-middle แทรกโค้ดเข้าไปยังเว็บอื่นๆ ที่ไม่ได้เข้ารหัสได้

หลังจากที่ฝังสคริปต์ได้แล้ว สคริปต์จะเรียกหน้าข้อความโดยพยายามให้มีเนื้อความเป็นข้อความที่กำหนดได้ เช่นสั่งเรียกหน้า reply โดยกำหนดอีเมลลงไป หลังจากนั้นจึงดูขนาดของเนื้อหาที่ส่งกลับมาว่ามีขนาดเท่าใด

หากแฮกเกอร์เดาอีเมลได้ถูกต้อง ขนาดไฟล์ที่ส่งกลับมาจะมีขนาดเล็กลง แฮ็กเกอร์สามารถค่อยๆ เดาทีละตัวอักษรเพื่อรู้อีเมลแอดเดรสได้

กระบวนการนี้เป็นการโจมตีรูปแบบเดียวกับ CRIME ที่ใช้โจมตี SDPY เพียงแต่รอบนั้นเป็นการโจมตีที่การบีบอัดส่วนหัว (header) ของข้อความ การปิดการบีบอัดไม่เสียหายอะไรมากนัก แต่การบีบอัดเว็บนั้นมีการใช้งานกันโดยทั่วไป และช่วยให้เว็บทำงานได้เร็วขึ้นมาก (Blognone เองก็บีบอัดด้วย gzip) การปิดการทำงานของการบีบอัดคงเป็นเรื่องยากกว่ามาก

ใครทำงานวิจัยด้านความปลอดภัยตอนนี้หัวข้อที่น่าสนใจคงเป็นกระบวนการบีบอัดที่ทนทานต่อการโจมตีแบบนี้ครับ

ที่มา - ArsTechnica 1, 2

Tags:
Mozilla

Mozilla ประกาศความร่วมมือกับ BlackBerry ด้านการวิจัย-พัฒนาเครื่องมือช่วยค้นหาช่องโหว่ของซอฟต์แวร์

เทคนิคที่ทั้งสององค์กรใช้คือ "Fuzzing" หรือ fault injection ซึ่งเป็นการทดลองยิง malformed data แบบต่างๆ ที่คนทั่วไปคิดไม่ถึงไปยังซอฟต์แวร์ที่ต้องการทดสอบ ทั้งสองจะร่วมกันพัฒนาเครื่องมือโอเพนซอร์สที่ชื่อ Peach แต่ก็จะขยายผลไปยังเครื่องมือตัวอื่นๆ ด้วย

ทั้ง Mozilla และ BlackBerry ใช้เทคนิค Fuzzing กับซอฟต์แวร์ของตัวเองมาบ้างแล้ว และพบว่าไหนๆ สนใจเรื่องเดียวกันก็มาจับมือกันเพื่อลดความซ้ำซ้อนเสียเลย - Mozilla

ในโอกาสเดียวกัน Mozilla ยังประกาศทำเครื่องมือทดสอบซอฟต์แวร์อีกตัวชื่อ Minion (รอบนี้ทำคนเดียว ไม่ได้จับมือกับ BlackBerry) ซึ่งเป็นแพลตฟอร์มสำหรับทำ automated security testing ที่ใส่ปลั๊กอินเฉพาะทางเพิ่มได้ - Mozilla

Tags:
NSA

หนังสือพิมพ์ The Guardian เปิดเผยเอกสารฝึกอบรมนักวิเคราะห์ของ NSA ในโครงการ XKeyscore เพื่อค้นหากิจกรรมของผู้ใช้ใดๆ จากตามเวลาจริง โดยสามารถค้นหาจากชื่อล็อกอิน, เบอร์โทรศัพท์, อีเมล, และภาษาที่ใช้งาน

ระบบค้นหาเปิดให้ผู้ใช้ตั้งช่วงเวลาที่ค้นหาโดยต้องใส่ "เหตุผล" (justification) ของการค้นหา และเลือกเหตุผลที่ทำให้เชื่อได้ว่าผู้ที่กำลังถูกค้นนั้นเป็นชาวต่างชาติ (เพราะหากเป็นการดักฟังพลเมืองสหรัฐฯ จะต้องเข้ากระบวนการขอหมายศาล) จากนั้น Xkeyscore จะดักค้นทุกจุดดักฟังเพื่อจับทุกอย่างที่ "ดูเหมือน" อีเมลที่กำลังค้นหานั้น

จากที่ดูในไฟล์อบรม ดูเหมือน XKeyscore จะเป็นตัวดัก HTTP เพื่อจับข้อมูลภายในออกมาค้นหาตามสตริงที่นักวิเคราะห์ใส่ไว้ แต่เนื่องจากข้อมูลแทบทุกอย่างในทุกวันนี้วิ่งผ่าน HTTP แทบทั้งหมดระบบจึงสามารถค้นหาข้อมูลได้แทบทุกอย่าง แต่ไม่มีข้อมูลว่าการดักฟังนี้ทำได้เพราะไม่ได้เข้ารหัสไว้ หรือได้รับความร่วมมือจากผู้ให้บริการโดยตรงซึ่งทำให้ดักฟังได้แม้เข้ารหัส

ระบบ XKeyscore จะเก็บข้อมูลไว้ในฐานข้อมูลเป็นเวลา 24 ชั่วโมง เป็นปริมาณ 20 เทราไบต์ต่อวัน

NSA ติดต่อ The Guardian ระบุว่านักวิเคราะห์ที่เข้าถึงเครื่องมือนี้ได้มีจำกัดและต้องมีงานที่เกี่ยวข้องเท่านั้น ตลอดจนกระบวนการทำงานมีการตรวจสอบเพื่อให้แน่ใจว่าอยู่ในกฎหมาย

ที่มา - The Guardian

Tags:
Facebook

หลังจากเฟซบุ๊กเปิดให้ผู้ใช้เลือกเปิด HTTPS ใช้งานเป็นรายคนมาเป็นเวลาสองปี ตอนนี้การเข้าถึง www.facebook.com จะกลายเป็น HTTPS ทั้งหมด แต่ยังไม่เปิดบริการสำหรับ m.facebook.com ที่ยังเป็น HTTPS อยู่ 80%

กระบวนการอัพเกรดแบบบังคับเริ่มมาตั้งแต่ต้นปีที่ผ่านมา จนกระทั่งผู้ใช้กลุ่มสุดท้ายเพิ่งถูกบังคับจนครบ

ปัญหาที่เฟซบุ๊กไม่ยอมอัพเกรดก่อนหน้านี้เป็นเรื่องของประสิทธิภาพเป็นหลักเพราะกระบวนการเชื่อมต่อ HTTPS ต้องแลกข้อมูลไปมาหลายครั้งก่อนจะเชื่อมต่อสำเร็จ เมื่อต้องให้บริการกับพื้นที่ที่อินเทอร์เน็ตมี latency สูงระยะเวลาจะเพิ่มขึ้นมา เฟซบุ๊กแก้ปัญหาด้วยการเพิ่มโหนดใหม่ๆ ทั่วโลก และปรับไปใช้กระบวนการเชื่อมต่อแบบเร็วในกรณีเชื่อมต่อซ้ำ (RFC5077)

เฟซบุ๊กระบุว่าตอนนี้กำลังเตรียมเพิ่มฟีเจอร์ความปลอดภัยอีกหลายอย่าง ทั้งการใช้กุญแจขนาด 2048 บิต, รองรับการเข้ารหัสที่ไม่สามารถนำข้อมูลไปถอดรหัสได้แม้กุญแจจะหลุดไปในอนาคต, ล็อก CA, และรองรับ HSTS

ที่มา - Facebook Engineering

Tags:
Google

กูเกิลประกาศเปลี่ยนใบรับรอง SSL จาก 1024 บิตไปเป็นแบบ 2048 บิตทั้งหมดพร้อมกับเปลี่ยนสา่ยการรับรอง (certificate chain) ไปพร้อมกัน

กระบวนการนี้ไม่น่าจะกระทบผู้ใช้ นอกจากผู้ใช้ที่ใช้ไม่ได้อัพเดตระบบปฎิบัติการหรือใช้ไลบรารี SSL ของตัวเองรุ่นเก่า หรือซอฟต์แวร์ที่ฝังใบรับรองเข้ากับโค้ด ก็จะทำงานไม่ได้จากการอัพเดตครั้งนี้

แม้จะอัพเดตขนาดกุญแจไปเป็นขนาด 2048 บิต แต่ทุกวันนี้กระบวนการเข้ารหัสแบบกุญแจสมมาตรก็ยังใช้การเข้ารหัส RC4 แบบ 128 อยู่

กูเกิลเปิดเว็บ cert-test ให้ทุกคนเข้าทดสอบใบรับรองใหม่ได้แล้ว ส่วนกระบวนการอัพเดตจริงจะค่อยๆ อัพเดตไปทีละบริการจนครบในอีกหลายเดือนข้างหน้า

ที่มา - Google Developers Blog

Tags:
CyanogenMod

ก่อนหน้านี้ CyanogenMod ได้ปิด root เป็นค่าเริ่มต้นสำหรับรอม CyanogenMod ไป ตอนนี้คนในทีมก็ได้คุยถึงขั้นตอนต่อยอดจากแนวทางเดิม คือการใช้งานรอม CyanogenMod โดยไม่ต้อง root จากการที่ Android 4.3 ที่จะเป็นฐานของ CM10.2 เพิ่มฟีเจอร์เกี่ยวกับความปลอดภัยแบบใหม่เข้ามาโดยไม่ต้อง root

โพสต์ต้นทางบน +Steve Condik ผู้ก่อตั้ง CyanogenMod ได้คุยกันถึงเรื่องของฟีเจอร์ที่ยังจำเป็นต้อง root ซึ่งก็จะเป็นฟีเจอร์จำพวกแบ็คอัพ และแก้ไขเกี่ยวกับระบบภายในต่างๆ

ใจความสำคัญของ Steve Condik อยู่ที่ว่าฟีเจอร์ต่างๆ ที่เคยต้องใช้สิทธิ์ root นั้น ตอนนี้ได้ถูกทำให้ใช้ได้โดยไม่ต้อง root อีกต่อไป และยังสามารถทำได้ด้วยวิธีที่ปลอดภัยกว่าอีกด้วย และตัวเขาเองยังสนใจพัฒนาเฟรมเวิร์คเสริม และ API ลงใน CyanogenMod เพื่อให้สามารถใช้งานฟีเจอร์ที่ต้องการได้โดยปราศจาก root ในอนาคตอีกด้วย

เก็บตกอีกอย่างที่ทีม +CyanogenMod คุยกันในตอนนี้คือรอมรุ่นต่ออย่าง CM10.2 จะรองรับบนอุปกรณ์ที่ใช้ซีพียูจาก Qualcomm, TI OMAP, Tegra 3 หรือแม้แต่ Exynos ที่ถูกบอกผ่านมาหลายรุ่นครับ

ที่มา - Android Authority

Tags:
NSA

Joseph Bonneau นักวิจัยความปลอดภัยจากกูเกิล ได้รับรางวัลงานวิจัยด้านความปลอดภัยไซเบอร์จากงานวิจัยหัวข้อ "The science of guessing: analyzing an anonymized corpus of 70 million passwords" ที่ตีพิมพ์ลง IEEE เมื่อปีที่แล้ว

หลังการรับรางวัลเขาเขียนบล็อกถึงความรู้สึกจากรางวัลที่ได้รับความมีความรู้สึกขัดแย้งกันเอง เมื่อคิดถึง NSA ที่กำลังดักฟังการสื่อสารเป็นวงกว้างโดยไม่มีการตรวจสอบย้อนกลับที่ชัดเจน เขารู้สึกอับอายในฐานะพลเมืองสหรัฐฯ ที่มีนักการเมืองที่ปล่อยให้เกิดเหตุการณ์เช่นนี้

เขาระบุว่าสังคมเสรีนั้นเข้ากันไม่ได้กับ NSA ที่ทำงานในรูปแบบปัจจุบัน แม้เขาจะดีใจที่ได้พบกับวิศวกรด้านความปลอดภัยจำนวนมากใน NSA และได้พูดคุยกัน แต่งานวิจัยความปลอดภัยต้องมุ่งสร้างความเป็นส่วนตัวให้ดีขึ้น

ที่มา - Light Blue Touchpaper

Tags:
Google Play Services

กูเกิลเคยบอกใบ้เรื่องตัวแสกนมัลแวร์ที่ผนวกมากับ Google Play มาแล้วรอบนึง แต่เรายังไม่เห็นว่ามันทำงานจริงหรือไม่ นอกจากบน Android 4.2

ล่าสุดกูเกิลปรับแผนการทำงานใหม่ โดยโยกเอาฟีเจอร์นี้ออกมาจาก Android 4.2 แล้วใส่ไปใน Google Play Service แทน ซึ่งจะมีผลให้ Android 2.3/4.0 และ 4.1 ได้ใช้งานฟังก์ชันนี้ด้วยนั่นเองครับ

สำหรับฟีเจอร์นี้ จะเป็นฟีเจอร์คนละตัวกับ Bouncer ที่คอยดักแอพฯ มัลแวร์อยู่ภายใน Developer Console โดยฟีเจอร์นี้จะเปิดช่องให้กูเกิลทำการตรวจสอบแอพพลิเคชันที่ไม่ได้ติดตั้งผ่าน Google Play (หรือที่เรียกกันว่า side-loaded) ทั้งหมด ว่าเข้าข่ายทำงานผิดปกติเหมือนกับที่กูเกิลเคยเจอบน Developer Console หรือไม่ ซึ่งถ้าเจอ กูเกิลก็จะสั่ง Remote Uninstall โดยอัตโนมัติครับ

ข่าวนี้อาจจะทำให้หลายคนที่ใช้ Android เริ่มใจชื้นกับระบบความปลอดภัยของ Android ที่เพิ่มมากขึ้น เพราะกูเกิลเริ่มให้ความสนใจกับความปลอดภัยที่แต่เดิมเป็นช่องที่หละหลวมของ Android มาตลอด และอีกอย่างใน Android 4.3 ก่อนหน้านี้ ก็ปรับปรุงเรื่องความปลอดภัยหลายอย่างเช่นกัน ซึ่งนั่นก็รวมไปถึงการป้องกันการ mount /system เพื่อป้องกันการแก้ไขระบบ และการมาใช้ SELinux มาเป็นระบบควบคุมตัวเครื่องหลักด้วยนั่นเองครับ

ที่มา - Android Police