Tags:
Rails

นักวิจัยด้านความปลอดภัย G.S. McNamara ค้นพบช่องโหว่ภายในฟังก์ชัน CookieStore ที่ใช้ในการจัดการเซสชั่นโดยจะทำการแฮชเซสชั่นดังกล่าวนั้นในรูปแบบของคุกกี้ และไม่มีการเก็บเซสชั่นใดๆ ลงในฐานข้อมูล ซึ่งอาจส่งผลให้ผู้ประสงค์ร้ายสามารถขโมยคุกกี้ได้

เมื่อผู้ใช้ยกเลิกการใช้งานจะมีการส่งคุกกี้ที่มีลักษณะว่างเปล่าไปเพื่อแทนที่คุกกี้เดิมที่ใช้ในการยืนยันเซสชั่น และตามลักษณะการทำงานของเบราว์เซอร์ก็จะใช้คุกกี้ที่ใหม่กว่า แต่ปัญหาอยู่ที่คุกกี้เดิมที่ถูกใช้ในการยืนยันเซสชั่นนั้นยังสามารถใช้งานได้อยู่ โดยการที่จะทำให้คุกกี้เดิมนั้นไม่สามารถใช้งานได้คือการเปลี่ยนรหัสผ่าน หรือในกรณีของผู้พัฒนาคือการเปลี่ยนรหัสลับของแอพพลิเคชันตามค่าเริ่มต้นของเรลส์ เมื่อผู้ประสงค์ร้ายสร้างการโจมตีในรูปแบบ Session hijacking หรือ XSS เพื่อทำการดรอปการเชื่อมต่อที่จะส่งคุกกี้ว่างเปล่าไปแทน และขโมยคุกกี้ที่สามารถใช้งานได้มาได้ ผลจากช่องโหว่จะทำให้ผู้ประสงค์ร้ายสามารถเข้าถึงบัญชีผู้ใช้งานได้โดยตรง

แม้ว่าเรลส์เวอร์ชัน 4.0 จะมีการเข้ารหัสคุกกี้แล้วแต่ McNamara อ้างว่ามันยังไม่ได้ผลดีเท่าไหร่นัก โดยเขาแนะนำให้เปลี่ยนไปใช้ ActiveRecordStore หรือฟังก์ชันอื่นๆ ที่มีการใช้ชื่อ session_id แทนชื่อของแอพพลิเคชัน และมีการเก็บเซสชั่นไว้บนฐานข้อมูล แม้อาจจะดูยุ่งยากแต่สามารถเพิ่มความปลอดภัยได้มากกว่า

ที่มา - MaverickBlogging via Threatpost

Tags:
NSA

รายงานการฝังช่องโหว่ไว้ในตัวสร้างเลขสุ่ม Dual_EC_DRBG สร้างความตระหนกให้กับทั้งอุตสาหกรรมความปลอดภัย คำถามสำคัญคือมาตรฐานเปิดที่ผ่านกระบวนการสร้างมาตรฐานของ NIST นี้ทำไมจึงหลุดรอดสายตาของนักคณิตศาสตร์และนักรหัสวิทยาทั่วโลกไปได้ วันนี้ทาง WIRED ลงบทความเล่าถึงการนำเสนอความยาว 5 นาทีด้วยสไลด์ 9 หน้าที่งาน Crypto ในปี 2007 ระบุถึงความเป็นไปได้ในการฝังช่องโหว่เอาไว้

การนำเสนอหัวข้อ "On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng" (PDF) โดย Dan Shumow และ Niels Ferguson โปรแกรมเมอร์ไมโครซอฟท์ ระบุถึงค่าคงที่ Q ในกระบวนการ Dual_EC_DRBG นั้นไม่ได้มีการอธิบายที่มาอย่างชัดเจน หากเลือกค่านี้อย่างถูกต้อง และสามารถสร้างค่าคงที่ที่เปิดเผยสถานะภายในกระบวนการสร้างเลขสุ่มออกมาได้ผ่านการสังเกตเอาท์พุตของการสุ่มเลขเพียงสั้นๆ (32 ไบต์) เท่านั้น การนำเสนอนี้อยู่ในช่วง turbo talk ที่แต่ละกลุ่มมีเวลานำเสนอเพียงสั้นๆ

Tags:
iMessage

เตือนภัยจากศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) เนื่องจากมีผู้รายงานว่ามีแอพพลิเคชันชื่อ iMessage Chat ปรากฏอยู่ใน Play Store ซึ่งอ้างว่าสามารถส่งข้อความผ่านระบบ iMessage ของ Apple ได้ ทาง ThaiCERT ได้ตรวจสอบแอพพลิเคชันดังกล่าวแล้วพบว่าสามารถส่งได้จริง

แต่สิ่งที่น่าสงสัยในแอพพลิเคชันนี้คือ มีการส่งข้อมูลไปยังเซิร์ฟเวอร์ที่อยู่ในประเทศจีน (น่าจะใช้เป็นตัวกลางในการรับส่งข้อมูล) ซึ่งอาจมีความเสี่ยงว่าผู้ใช้จะถูกขโมยข้อมูลสำคัญ เช่น Apple ID หรือข้อมูลอื่นๆ ได้

นอกจากนี้ทาง ThaiCERT ยังพบว่าแอพพลิเคชันดังกล่าวมีการร้องขอ Permission ในการอ่านข้อมูลรายชื่อผู้ติดต่อ ถ่ายภาพ อัดเสียง รวมถึงแก้ไขและลบข้อมูลใน SD Card ซึ่งอาจทำให้ผู้ที่ติดตั้งแอพพลิเคชันดังกล่าวนี้ถูกขโมยข้อมูลส่วนตัวได้

ที่มา: ThaiCERT

Tags:
Android

Android Device Manager บริการช่วยเหลือผู้ใช้ให้ตามหาเครื่องยามลืมหรือถูกขโมยที่เปิดตัวมาเมื่อเดือนสิงหาคมที่ผ่านมา ตอนนี้กูเกิลเพิ่มฟีเจอร์ใหม่เข้ามาแบบเงียบๆ อีกสองฟีเจอร์แล้ว

ฟีเจอร์แรกเป็นการต่อยอดจากเดิมที่เครื่องสามารถสั่งลบข้อมูลระยะไกลได้ ของใหม่สามารถสั่งล็อกเครื่องจากระยะไกลได้ด้วย และยังสามารถเปลี่ยนรหัสผ่าน โดยรหัสใหม่จะไปทับทั้งรหัสผ่านเดิมและการปลดล็อกแบบการวาดนิ้วของตัวเครื่องไปเลย

เมื่อสั่งล็อกไปแล้ว ตัวเครื่องจะถามหารหัสผ่านใหม่ทันที ถ้าหากมีความพยายามจะปรับไปเป็นโหมด Airplane ตัวเครื่องจะล็อกอัตโนมัติ และกลับมาถามรหัสผ่านอีกครั้งเมื่อเชื่อมต่อกับอินเทอร์เน็ต

สำหรับวิธีการใช้งานก็ง่ายๆ เพียงเข้าไปที่เว็บไซต์ Android Device Manager กดปุ่ม Lock ตรงกลาง และเปลี่ยนรหัสผ่าน เท่านี้ก็เรียบร้อย

ที่มา - Android Police

Tags:
Internet Explorer

เตือนภัยจากศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย เนื่องจากทางไมโครซอฟท์พบการโจมตีช่องโหว่ของ Internet Explorer ทุกรุ่นตั้งแต่วันที่ 17 กันยายนที่ผ่านมา (แม้แต่ตัวใหม่อย่าง IE 11 ก็โดน) ซึ่งช่องโหว่นี้ถูกขึ้นทะเบียนฐานข้อมูลช่องโหว่ที่หมายเลข CVE-2013-3893

ช่องโหว่ตัวนี้เกิดจากการจัดการหน่วยความจำที่ผิดพลาด เป็นเหตุให้สามารถใช้สั่งการให้เครื่องคอมพิวเตอร์ที่โดนบุกรุกประมวลผลคำสั่งใดๆ ก็ได้ (Remote Code Execution) ในสิทธิ์ของผู้ใช้ที่รัน IE ขึ้นมา เช่นการดาวน์โหลดมัลแวร์มาติดตั้ง

ทางไมโครซอฟท์ได้ออกแพตช์มาเพื่อ "ลด" ผลกระทบจากช่องโหว่ดังกล่าวเป็นการเร่งด่วนก่อนแล้ว โดยสามารถดาวน์โหลดมาติดตั้งได้จาก http://support.microsoft.com/kb/2887505 -- หรือคำแนะนำที่ง่ายกว่าคือ เลี่ยงการใช้งาน IE โดยสิ้นเชิงไปจนกว่าจะมีแพตช์ใหม่เพื่อแก้ไขช่องโหว่ดังกล่าว (ไมโครซอฟท์ไม่ได้กล่าวไว้)

ที่มา: ThaiCERT

Tags:
Trend Micro

ช่วงสองวันที่ผ่านมา มีรายงานความพยายามแฮกครั้งใหญ่ทั่วภูมิภาคเอเซีย โดยเฉพาะในจีนและญี่ปุ่น

การแฮกครั้งหนึ่งเป็นการติดตั้งซอฟต์แวร์ลงบนเครื่องผ่านทางบั๊กของ Internet Explorer ที่เพิ่งได้รับแพตซ์เมื่อสัปดาห์ก่อน เครื่องของเหยื่อจะถูกหลอกให้ดาวน์โหลดไฟล์ jpg มาไฟล์หนึ่งซึ่งจริงๆ แล้วไฟล์นั้นเป็นซอฟต์แวร์ที่รันได้ เมื่อรันแล้วซอฟต์แวร์จะส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ในเกาหลี

ทางกลุ่ม FireEye ผู้รายงานการโจมตีครั้งนี้ระบุว่าหมายเลขไอพีเครื่องที่มัลแวร์ส่งข้อมูลกลับไป เป็นเครื่องกลุ่มเดียวกับที่ใช้ส่งข้อมูลกลับ เมื่อตอนที่บริษัท Bit9 ถูกแฮก การแฮกสองครั้งนี้จึงอาจจะมาจากกลุ่มเดียวกัน

ทางด้าน TrendMicro ตรวจพบซอฟต์แวร์ EvilGrab โปรแกรมจับหน้าจอและดักจับคีย์บอร์ดเพื่อส่งกลับไปยังเซิร์ฟเวอร์ โดยพยายามดักจับการล็อกอินใน Internet Explorer, Outlook, และ QQ

หน่วยงานที่ถูกติดตั้ง EvilGrab ส่วนมากเป็นหน่วยงานรัฐในภูมิภาคเอเชียแปซิฟิก อันดับหนึ่งคือหน่วยงานของจีน 36% และญี่ปุ่น 16%

ที่มา - The Register, Trend Micro, FireEye

Tags:
Instagram

มีการเปิดเผยจาก นางพุทธชาด มุกดาประกร ผู้ช่วยกรรมการผู้จัดการใหญ่สื่อสารองค์กรและกิจการเพื่อสังคม บริษัท ปตท.จำกัด (มหาชน) ว่าได้มีผู้แอบอ้างสร้างบัญชี ปตท. ในแอพพลิเคชันแชร์รูปยอดนิยมอย่าง Instagram ซึ่งใช้ชื่อว่า PTT_Thailand หรือที่ http://instagram.com/ptt_thailand โดยหลอกให้ติดตามแล้วจะได้เติมน้ำมันฟรี

เบื้องต้นผมได้ทดสอบเข้าหน้าเว็บ http://instagram.com/ptt_thailand แต่ไม่สามารถเข้าได้อาจจะมีการปิดบัญชีไปเรียบร้อยแล้วครับ

ที่มา - ผู้จัดการออนไลน์

Tags:
RSA

ข่าวการแทรกกระบวนการพิเศษเข้าไปในการสร้างเลขสุ่ม Dual_EC_DRBG ทำให้ RSA ต้องออกมาเตือนลูกค้าที่ใช้ไลบรารี BSAFE Toolkit ให้ยกเลิกการใช้งานแล้วไปใช้ตัวสร้างเลขสุ่มแบบอื่นๆ เพื่อความปลอดภัย

BSAFE รองรับ Dual_EC_DRBG มาตั้งแต่ปี 2004 ก่อนที่จะเป็นมาตรฐานในปี 2006 และยังใช้เป็นตัวสร้างเลขสุ่มมาตรฐานในหลายกรณี แต่กำลังพิจารณาเปลี่ยนตัวสร้างเลขสุ่มนี้ต่อไป โดยตอนนี้แนะนำให้ลูกค้าเป็นผู้เปลี่ยนกระบวนการสร้างเลขสุ่มนี้ด้วยตัวเองเนื่องจากตัว BSAFE เองก็รองรับกระบวนการสร้างเลขสุ่มถึง 6 แบบ

Sam Curry หัวหน้าฝ่ายเทคนิคของ RSA ออกมายืนยันว่า RSA เลือก Dual_EC_DRBG เพราะฟีเจอร์ความปลอดภัยเช่นการทดสอบเอาต์พุตและฟีเจอร์ความปลอดภัยอื่นๆ

ที่มา - Wired

Tags:
iOS 7

มีรายงานช่องโหว่ใหม่ของ iOS 7 ที่สามารถเข้าถึงภาพถ่ายภาพในเครื่องได้แม้ตั้ง lockscreen ไว้ วิธีการคือให้เข้าหน้า control center จาก lockscreen, เลือกนาฬิกาปลุก, กดปุ่ม power ค้างไว้เพื่อให้ขึ้นหน้าจอถามการปิดเครื่อง, กด cancel, กด home สองทีเพื่อเข้าหน้ารายการแอพ ก็จะสามารถเข้าถึงภาพถ่ายและกล้องถ่ายรูปได้

โฆษกของแอปเปิลระบุว่าทราบปัญหานี้แล้ว และจะรีบแก้ไขต่อไป ระหว่างนี้สามารถปิดการเข้าถึง control center จากหน้า lockscreen ไปพลางๆ ได้ก่อน

ที่น่าสนใจคือคนที่ค้นพบช่องโหว่นี้เป็นทหารชื่อ Jose Rodriguez จากหมู่เกาะคานารีของสเปน เขามีประวัติค้นพบช่องโหว่ของหน้า lockscreen มาแล้วหลายครั้ง ซึ่งเขาให้สัมภาษณ์ไว้ว่าในอดีตเขาเป็นพนักงานขับรถให้เจ้าหน้าที่ของรัฐบาล มีเวลาว่างเหลือเฟือเวลารอเจ้านาย เขาจึงทดสอบการกดปุ่มทุกแบบกับหน้า lockscreen เท่าที่นึกออก และก็ค้นเจอช่องโหว่อยู่บ้าง (เขาใช้คำว่า "ทรมาน iPhone อย่างโหดร้าย")

ที่มา - Forbes

Tags:
NSA

บริษัท VUPEN เป็นบริษัทความปลอดภัยคอมพิวเตอร์จากฝรั่งเศสที่มีชื่อเสียงมาก จากการนำเสนอช่องโหว่ครั้งใหญ่ๆ หลายครั้ง หลายคนอาจจะสงสัยว่าบริษัทที่จ้างผู้เชี่ยวชาญระดับสูงไว้จำนวนมากเช่นนี้ได้เงินมาจากไหนนอกเหนือจากการแข่งซึ่งสร้างรายได้ไม่แน่นอน คำตอบส่วนหนึ่งคือการรับเงินรายปีจากหน่วยงานของรัฐบาลทั่วโลก เช่น NSA

เอกสารการสั่งซื้อรายงานตรวจวิเคราะห์ช่องโหว่ซอฟต์แวร์จาก VUPEN เป็นระยะเวลา 12 เดือนถูกเปิดเผยจากการร้องขอของโครงการ MuckRock ผ่านกระบวนการเปิดเผยข้อมูลภาครัฐตามกฎหมาย (แบบเดียวกับกฎหมายข้อมูลข่าวสารบ้านเรา) เริ่มต้นมีผลเมื่อเดือนกันยายนปี 2012 และเพิ่งครบกำหนดไป โดยส่วนของราคานั้นถูกปิดเอาไว้

VUPEN ระบุว่าจะขายข้อมูลเหล่านี้ให้กับชาติสมาชิก NATO เท่านั้นและจะไม่ขายให้กับชาติที่ปกครองอย่างกดขี่

NSA ซื้อช่องโหว่จากบริษัทความปลอดภัยอื่นด้วย แต่กรณีของ VUPEN เป็นบริษัทที่มีชื่อเสียงและพบช่องโหว่ใหม่ๆ ก่อนที่อื่นอยู่เรื่อยๆ ความระแวงว่า NSA จะสามารถเข้าถึงเครื่องของคนทั่วไปผ่านช่องโหว่เหล่านี้ได้ก็มีโอกาสเพิ่มขึ้นมาก

ที่มา - Threat Post, MuckRock (PDF)

Tags:
USB

บริษัทให้คำปรึกษาด้านความปลอดภัยและผู้พัฒนาอุปกรณ์ฝังตัว Int3.cc วางขาย USB Condoms อุปกรณ์เสริมที่ทำให้ผู้ใช้สามารถชาร์จไฟอุปกรณ์ผ่านพอร์ตยูเอสบีใดก็ได้โดยไม่ต้องกังวลว่าข้อมูลจะรั่วไหลออกไปหรือจะติดไวรัสเข้ามาในอุปกรณ์ที่ชาร์จไฟอยู่

หลักการทำงานของ USB Condoms คือมันจะไม่มี pin สำหรับรับส่งข้อมูลตามมาตรฐานพอร์ตยูเอสบีทั่วไป ทำให้เฉพาะกระแสไฟฟ้าเท่านั้นที่สามารถไหลไปยังอุปกรณ์ที่ผู้ใช้ต้องการชาร์จไฟได้

ใครที่สนใจสามารถสั่งซื้ออุปกรณ์นี้ผ่านเว็บไซต์ int3.cc ตามที่มาของข่าวได้ตั้งแต่วันที่ 16 กันยายนนี้เป็นต้นไป อย่างไรก็ตามมีแต่การเปิดเผยแผงวงจรเท่านั้น ยังไม่มีการเปิดเผยหน้าตาของอุปกรณ์นี้

ที่มา: int3.cc ผ่าน Fast Company

Tags:
HP

งานแข่งขันแฮกเกอร์ทั่วโลกอย่าง Pwn2Own กำลังจะจัดแข่งในงาน PacSec ที่โตเกียวเดือนพฤศจิกายนนี้ ตอนนี้ได้สปอนเซอร์หลักเป็นเอชพีที่ให้รางวัลรวม 300,000 ดอลลาร์

งานนี้ไม่ได้จำกัดเฉพาะเบราว์เซอร์ แต่สามารถแฮกผ่านอะไรก็ได้ของโทรศัพท์มือถือ การแฮกผ่านการเชื่อมต่อเช่น NFC, USB, Wi-Fi, หรือ Bluetooth จะได้รางวัล 50,000 ดอลลาร์ การแฮกผ่าน SMS, MMS, และ CMAS (ข้อความเตือนภัยพิบัติ) จะได้รางวัล 70,000 ดอลลาร์ และการแฮกผ่านเบราว์เซอร์จะได้รางวัล 40,000 ดอลลาร์

กูเกิลจะเป็นผู้สนับสนุนร่วมให้รางวัลเพิ่มเติม 10,000 ดอลลาร์สำหรับผู้ที่แฮก Chrome บนเครื่อง Nexus 4 หรือ Galaxy S4 ได้ และอาจจะให้รางวัลเพิ่มเติมในกรณีที่มีคนแฮกได้มากกว่าหนึ่งคน เพราะรางวัลของทางเอชพีนั้นจะจำกัดหนึ่งรางวัลต่อประเภทเท่านั้น

แผนกของเอชพีที่ลงเงินสนับสนุนงานนี้คือ Zero Day Initiative (ZDI) ที่ปกติซื้อช่องโหว่จากนักวิจัยภายนอกอยู่เป็นระยะอยู่แล้ว

ที่มา - eWeek

Tags:
DTAC

บริการ Wi-Fi บ้านเราที่ให้บริการกันส่วนมากเป็นบริการไม่เข้ารหัสมานาน แต่วันนี้ DTAC ก็เปิดบริการ Wi-Fi แบบเข้ารหัสแล้ว โดยล็อกอินแบบ EAP-SIM ทำให้ไม่ต้องใส่รหัสผ่านทุกครั้งอีกด้วย

ก่อนหน้านี้บริการที่ต้องเข้าหน้าเว็บเพื่อล็อกอินนั้นเป็นการใช้ Wi-Fi แบบไม่มีการเข้ารหัส แม้จะเข้ารหัสในหน้าเว็บล็อกอินก็ตาม ทำให้ผู้ใช้มีความเสี่ยงถูกดักฟังในเว็บที่ไม่ได้เข้ารหัสเอาไว้เช่นการใช้เฟซบุ๊กในยุคหนึ่ง ที่อาจจะถูกขโมยบัญชีผู้ใช้ได้ง่าย (ภายหลังเฟซบุ๊กปรับมาเข้ารหัสแทบทั้งหมดแล้ว)

สำหรับบริการ EAP-SIM จะต้องใช้ผ่าน SSID ที่ชื่อว่า "@ dtac wifi auto" และปรับการใช้งานเป็น EAP-SIM

สงครามชื่อ Wi-Fi อยู่บนยังเป็นเรื่องน่าสนุกสำหรับเมืองไทยเสมอ :/

ที่มา - DTAC

Tags:
Java

ปัญหาความปลอดภัยของ Java เกิดจากเหตุผลหนึ่งคือแอพหรือแอพเพล็ตเขียนขึ้นสำหรับ Java เวอร์ชันเก่าที่เลิกสนับสนุนไปแล้ว (ข่าวเก่า) แต่หน่วยงานก็ไม่ยินดีจะปรับแก้แอพเพื่อรับ Java เวอร์ชันใหม่ๆ ด้วยเหตุผลด้านการลงทุนหรือบุคคลากร

Oracle พยายามแก้ปัญหานี้ด้วยวิธีการอื่นๆ แทน โดย Java 7 update 40 รุ่นล่าสุดที่เพิ่งออก ได้เพิ่มฟีเจอร์ Deployment Rule Set เพื่อให้แอดมินของเครื่องนั้นๆ สามารถกำหนดได้ว่าแอพหรือแอพเพล็ตตัวไหน สามารถรันเฉพาะบน JRE เวอร์ชันไหน เช่น แอพเก่าบางตัวรันบน Java 6 เท่านั้น ส่วนแอพที่ไม่ระบุให้รันบน Java 7 เป็นค่าตั้งต้น

กระบวนการนี้อาจยุ่งยากเล็กน้อยในการตั้งค่าครั้งแรก (ต้องสร้าง ruleset.xml อ่านรายละเอียดตามลิงก์) แต่ก็น่าจะช่วยให้การใช้งาน Java ในองค์กรนั้นปลอดภัยขึ้นบ้างในระดับหนึ่ง

ที่มา - Java Platform Group, Infoworld

Tags:
Java

Christopher Budd ผู้บริหารของบริษัทความปลอดภัย Trend Micro เปิดเผยข้อมูลผ่านบล็อกของบริษัทว่า ลูกค้าองค์กรที่ใช้งาน Java 6 (ที่ออราเคิลหยุดสนับสนุนไปแล้ว) กำลังมีความเสี่ยงที่จะถูกโจมตีจากบรรดาแฮ็กเกอร์มากขึ้น

Budd บอกว่าแฮ็กเกอร์ใช้วิธีนำแพตช์ของ Java 7 (ที่ออราเคิลยังสนับสนุนอยู่) มาแกะหรือ reverse engineering เพื่อดูว่ามีช่องโหว่อะไรบ้าง จากนั้นก็นำข้อมูลที่ได้ไปเจาะกับ Java 6 (ที่มีช่องโหว่ลักษณะเดียวกัน แต่ไม่ถูกอุด) ซึ่งตอนนี้มีการโจมตีลักษณะนี้เกิดขึ้นจริงแล้ว

Budd บอกว่าลูกค้า Java เกินกว่า 50% ยังใช้งาน Java 6 กันอยู่ ด้วยเหตุผลว่าแอพที่พัฒนาขึ้นรองรับถึงแค่ Java 6 ทำให้ผู้ใช้จำนวนมากมีความเสี่ยง ซึ่งเขาก็เตือนว่าถ้าจำเป็นต้องใช้ Java และไม่สามารถอัพเกรดได้ ก็ต้องหาวิธีป้องกันความเสี่ยงกันเองด้วยมาตรการอื่นๆ

ที่น่าสนใจคือ Budd เปรียบเทียบกรณี Java 6 สิ้นสุดระยะการสนับสนุนว่าจะเหมือนกับ Windows XP ที่จะหมดระยะแบบเดียวกันในเดือนเมษายน 2014 และเราคงได้เห็นการโจมตี Windows XP ที่ไม่ได้รับแพตช์เพิ่มขึ้นอีกมาก

ที่มา - Trend Micro, Ars Technica

Tags:
NSA

กระบวนการดักฟังข้อความแม้มีการเข้ารหัสของ NSA ยังคงเป็นปริศนาว่า NSA มีความสามารถแค่ไหนบ้าง ล่าสุดหนังสือพิมพ์ The New York Times ระบุว่ามีเอกสารจาก Edward Snowden ระบุว่ามาตรฐาน Dual_EC_DRBG ที่ใช้สร้างเลขสุ่มนั้นมีช่องโหว่ที่รู้เฉพาะ NSA อยู่ และ NSA เป็นผู้ผลักดันมาตรฐานนี้ให้กับ NIST (หน่วยงานด้านมาตรฐานเทคโนโลยีสำหรับหน่วยงานรัฐ) เป็นผู้ประกาศมาตรฐาน

Dual_EC_DRBG นั้นถูกตั้งคำถามมาเป็นเวลานาน นับแต่มันได้รับเข้าเป็นมาตรฐานในปี 2007 เพราะการทำงานที่ซับซ้อน ประสิทธิภาพแย่กว่ากระบวนการอื่นๆ นับพันเท่า และถูกสังเกตุว่ามีความโน้มเอียง (bias) ในค่าสุ่มที่สร้างขึ้นมาเล็กน้อย แต่กระบวนการนี้ยังคงได้รับเลือกเป็นหนึ่งในสี่กระบวนการในมาตรฐานการเข้ารหัสของ NIST

The New York Times ไม่ได้เปิดเอกสารฉบับเต็มให้อ่านเหมือน The Guardian ที่เปิดมาก่อนหน้านี้ แต่อ้างว่ามีข้อความในเอกสารระบุถึงกระบวนการที่ NSA พยายามผลักดัน Dual_EC_DRBG เข้าเป็นมาตรฐาน ทั้ง NIST และ ISO และด้วยกระบวนการบางอย่าง "สุดท้ายแล้ว NSA กลายเป็นผู้เขียนเอกสารเองทั้งหมด"

NIST ระบุว่าจะเปิดมาตรฐาน 800-90 ที่ระบุถึง Dual_EC_DRBG ให้นักรหัสวิทยามาแสดงความเห็นกันอีกครั้ง หากพบปัญหาจะเร่งแก้ไข

ที่มา - The New York Times, Wired (บทความแสดงความเห็นในปี 2007)

Tags:
NSA

ข่าวความสามารถในการดักฟังของ NSA ที่มีรายละเอียดมากขึ้นเรื่อยๆ ในช่วงหลัง ทำให้บริษัทต่างๆ ต้องกลับมาสร้างความมั่นใจให้กับผู้ใช้กันอีกครั้ง หนึ่งในผู้ให้บริการที่ NSA ระบุว่าสามารถดึงข้อมูลออกมาได้คือกูเกิล และตอนนี้กูเกิลก็ระบุว่าในอีกไม่กี่เดือนข้างหน้าจะเข้ารหัสระหว่างศูนย์ข้อมูลแล้ว

แม้ว่ากูเกิลจะเข้ารหัสในบริการต่างๆ เป็นส่วนใหญ่ ทั้ง Gmail และ Google+ แต่การเชื่อมต่อระหว่างศูนย์ข้อมูลทั่วโลกที่เช่าสายไฟเบอร์ออปติกส์ไว้เฉพาะนั้นมักไม่ได้เข้ารหัสเพราะโดยมากแล้วความเสี่ยงจากการดักฟังโดยผู้ให้บริการเช่าสายไฟเบอร์นั้นค่อนข้างต่ำ แต่มุมมองของกูเกิลตอนนี้มองว่าต้องเตรียมพร้อมกับรัฐบาลของตัวเอง (ที่มีความสามารถในการดักฟังเครือข่ายไฟเบอร์)

Tags:
NSA

The Guardian เปิดเผยเอกสารเพิ่มเติมจาก Edward Snowden เป็นเอกสารแนะนำระดับชั้นความปลอดภัยของข้อมูลต่างๆ เกี่ยวกับระบบคอมพิวเตอร์ Bullrun

เนื้อหาระบุว่าโครงการ Bullrun ได้รับข้อมูลจากหลายแหล่ง และความร่วมมือจากหลายหน่วยงาน และความสามารถดึงข้อมูลจากเทคโนโลยีต่างๆ นั้นอาจจะไม่ได้หมายถึงการถอดรหัสโดยตรงเสมอไป

เอกสารนี้ระบุว่า ชื่อ Bullrun นั้นไม่เป็นความลับแต่ต้องใช้งานในหน่วยงานที่เกี่ยวข้องเท่านั้น แต่ความสามารถของ Bullrun ที่สามารถ "เข้าถึงได้บางส่วน" สำหรับโปรโตคอล TLS/SSL, HTTPS, SSH, VPNs, VoIP, เว็บเมล, และเทคโนโลยีอื่นๆ นั้นเป็นระดับชั้นความลับสูงสุด (TOP SECRET)

เอกสารไม่ได้บอกถึงกระบวนการภายในของ Bullrun ว่าทำงานอย่างไร มันอาจจะเป็นการทำ man-in-the-middle ที่ใช้งานกันทั่วไป, อาจจะอาศัยความร่วมมือจากบริษัทต่างๆ เพื่อมอบกุญแจลับให้ตรงๆ, ไปจนถึงการพัฒนากระบวนการทางคณิตศาสตร์เพื่อถอดรหัสได้ตรงๆ แล้ว แม้กระทั่งอาจจะผสมกระบวนการทุกแบบเข้าด้วยกัน เพื่อถอดรหัสจากแหล่งต่างๆ ด้วยเทคนิคที่ต่างกันไป

ความลับนี้มีอายุการรักษาความลับ 25 ปี และเอกสารนี้ส่งออกมาเมื่อปี 2010 หากต้องรอเอกสารเปิดเผยตามรอบปกติจะต้องรอถึงปี 2035

ที่มา - The Guardian, USA Today

Tags:
Mega

บริการฝากไฟล์ MEGA ของ Kim Dotcom (ที่เพิ่งลาออกไป) นั้นมีฟีเจอร์สำคัญคือความปลอดภัยที่ทาง MEGA โฆษณาว่าสูงกว่าผู้ให้บริการรายอื่นๆ เพราะทาง MEGA เองก็ไม่มีกุญแจลับสำหรับการถอดรหัสไฟล์ ตอนนี้ Michael Koziarski นักพัฒนารายหนึ่งก็ออกมาสร้าง bookmarklet เพื่อดึงกุญแจลับออกมาจากบริการ MEGA แล้ว (ดูภาพอธิบายกระบวนการที่ Fortinet)

บริการฝากไฟล์ MEGA เมื่อสมัครบริการนั้นจะสร้างกุญแจขึ้นมาสองชุด คือ master key สำหรับถอดรหัสไฟล์, และ RSA key สำหรับการส่งไฟล์ไปยังผู้ใช้อื่น ทั้งสองไฟล์ถูกเข้ารหัสด้วยรหัสผ่านสำหรับล็อกอินเว็บ ทางฝั่ง MEGA เองนั้นแม้จะมีไฟล์กุญแจแต่มันถูกเข้ารหัสอยู่จึงนำไปถอดรหัสไฟล์อื่นๆ ที่ฝากไว้ในเว็บไม่ได้

ถ้าเป็นเว็บอื่นคงเป็นเรื่องใหญ่ที่ต้องรีบแก้ไข แต่โจทย์ของ MEGA นั้นต่างออกไป เพราะ MEGA ไม่ต้องการจะรับรู้ว่าข้อมูลที่ผู้ใช้เอามาวางในบริการนั้นเป็นอะไร เพื่อจะปฎิเสธความรับผิดชอบได้เต็มรูปแบบในกรณีที่มีการวางไฟล์ผิดกฎหมาย การที่มีผู้ใช้วางจาวาสคริปต์เพื่อดึงกุญแจไปได้จึงไม่ใช่ปัญหาของ MEGA โดยตรง เพราะตัว MEGA เองไม่อยากได้กุญแจเหล่านั้นเพื่อรับผิดชอบทางกฎหมายต่อไฟล์

แต่ Koziarski ก็เตือนว่างานของเขาแสดงให้เห็นว่าสุดท้ายแล้ว หากรัฐบาลจะสั่งให้ MEGA ฝังสคริปต์เพื่อโหลดเอากุญแจลับจากเครื่องของเราไปก็ได้เช่นกัน

ที่มา - ArsTechnica

Tags:
Thailand

บริษัท T-NET Security แปลเอกสารมาตรฐานความปลอดภัยสารสนเทศ ISO/IEC 27001 ให้ดาวน์โหลดมาอ่านศึกษาได้ฟรี

ตัวมาตรฐาน ISO/IEC 27001 นั้นเป็นกรอบกว้างๆ ว่าในระบบสารสนเทศที่ต้องการความปลอดภัยสูงต้องมีการตรวจสอบและกระบวนการรักษาความปลอดภัยเช่นใดบ้าง กระบวนการรวมตั้งแต่การพัฒนา, การจัดเก็บข้อมูล, ไปจนถึงการรักษาความปลอดภัยทางกายภาพ เช่น สถานที่ต้องมั่นคงปลอดภัย และการสำรองข้อมูล

เวลาที่เราพูดกันเรื่องความปลอดภัยคอมพิวเตอร์ เรามักจะคุยกันแต่เรื่องความปลอดภัยซอฟต์แวร์ เอกสารนี้จะระบุถึงความต้องการรอบด้านกว่า ถ้าใครสนใจความปลอดภัยคอมพิวเตอร์ก็ควรศึกษาไว้ครับ ดาวน์โหลดได้ตามลิงก์ (PDF)

บริษัท T-NET ก่อตั้งโดยสทวช. และมีทีมงานจาก ThaiCERT ที่เราเห็นงานวิจัยและการแจ้งเดือนความปลอดภัยออกมาเรื่อยๆ

ที่มา - Facebook: T-NET