Tags:
NSA

บริการต่างๆ ของสหรัฐฯ เข้ารหัสอย่างหนาแน่นขึ้นเรื่อยๆ บริการแชตต่างๆ เริ่มเข้ารหัสจากปลายทางถึงปลายทางทำให้ทางการเข้าถึงข้อมูลเหล่านี้ได้ยาก ล่าสุด Michael S. Rogers ผู้อำนวยการ NSA ไปบรรยายที่มหาวิทยาลัยพรินซ์ตัน ระบุว่าเขาต้องการให้บริการเข้ารหัสใส่ "ประตูหน้า" (front door ล้อเลียนกับคำว่า back door ซึ่งเป็นการวางช่องโหว่) เพื่อให้รัฐบาลสามารถเข้าถึงข้อมูลได้เมื่อต้องการ

ปัญหาใหม่ของหน่วยงานรัฐเมื่อต้องการเข้าถึงข้อมูล บริการจำนวนมากกลับให้บริการเข้ารหัสจากปลายทางถึงปลายทางทำให้เมื่อนำหมายศาลไปยังผู้ให้บริการก็ไม่สามารถให้ข้อมูลใดๆ ได้ อีกทั้งอุปกรณ์รุ่นใหม่ๆ เริ่มเข้ารหัสเป็นค่าเริ่มต้นทั้งแอนดรอยด์และไอโฟน

Tags:

Level 3 ผู้ให้บริการเครือข่ายข้ามทวีปรายใหญ่ (ที่เคยถูกสงสัยว่าเป็นผู้ร่วมมือกับ NSA) ออกมาประกาศความร่วมมือกับ Cisco Talos Group ตรวจสอบพฤติกรรมของเครื่องบนเครือข่ายสองวงต้องสงสัย คือ 103.41.125.0/23 และ 43.255.190.0/23

สองเครือข่ายนี้มีปริมาณข้อมูลเป็น SecureShell (SSH) ถึง 35% ของทั้งโลก และเมื่อทีมงานทดสอบตั้งเครื่องล่อแล้วปล่อยให้สแกนรหัสผ่านสำเร็จ ก็พบพฤติกรรมติดต่อกลับไปยังเครื่องแม่แล้วดาวน์โหลดมัลแวร์มาติดตั้ง

ทาง Level 3 ตรวจสอบอยู่พักใหญ่ก่อนจะตัดสินใจตัดทราฟิกทั้งหมดจากทั้งสองวงในวันที่ 7 เมษายนที่ผ่านมา พร้อมกับติดต่อไปยังผู้ให้บริการรายอื่นๆ ให้ตัดเครือข่ายทั้งสองวงนี้ออกไปด้วย

ทาง Level 3 แนะนำว่าผู้ที่ตั้งเซิร์ฟเวอร์ไม่ควรเปิดให้ล็อกอินด้วย root ผ่านทาง SSH, พิจารณาเปิด SSH ที่พอร์ตไม่มาตรฐาน, และตั้งนโยบายไฟร์วอลที่ดีพอสำหรับตอบโต้การสแกนรหัสผ่าน

ไอพีที่เกี่ยวข้อง รวมถึงเซิร์ฟเวอร์ควบคุมมีรายการอยู่ในที่มา

ที่มา - Level 3

Tags:
Singtel

Singtel โอเปอเรเตอร์รายใหญ่ของเอเชียตะวันออกเฉียงใต้ ซื้อหุ้น 98% ของ Trustwave Holdings, Inc. บริษัทความปลอดภัยสัญชาติอเมริกัน ด้วยราคา 810 ล้านดอลลาร์

Trustwave ให้บริการโซลูชันด้านความปลอดภัย (บริษัทใช้คำว่า "ช่วยบริหารความปลอดภัย" หรือ Managed Security Services) กับลูกค้าองค์กร ทั้งด้านภัยคุกคาม ช่องโหว่ และการสอบผ่านมาตรฐาน (compliance) ปัจจุบันบริษัทมีพนักงาน 1,200 คน และมีศูนย์ปฏิบัติการด้านความปลอดภัย security operations centers (SOCs) ทั้งหมด 5 แห่งทั่วโลก หลังการขายกิจการแล้ว Trustwave จะยังแยกการบริหารเป็นอิสระดังเดิม

Singtel จะนำบริการด้านความปลอดภัยของ Trustwave ผนวกเข้ากับโซลูชันด้านไอซีทีสำหรับลูกค้าธุรกิจของตัวเอง และจะช่วยขยายธุรกิจของ Trustwave ที่มีฐานหลักอยู่ในอเมริกาเหนือมายังตลาดเอเชียด้วย

ที่มา - Trustwave, Wall Street Journal

Tags:
Kaspersky

Kaspersky รายงานผลการวิเคราะห์การเข้ารหัสของมัลแวร์ TorLocker หรือชื่อที่ทางบริษัทเรียกคือ Trojan-Ransom.Win32.Scraper โดยตอนนี้พบสองรุ่นที่ระบาดคือ 1.0.1 และ 2.0 มุ่งโจมตีชาวญี่ปุ่น เรียกค่าไถ่ข้อมูลประมาณ 300 ดอลลาร์ โดยตอนนี้สามารถถอดรหัสไฟล์ได้บางส่วนแล้ว

มัลแวร์จะไล่ลบ system recovery point ของระบบ แล้วเข้ารหัสไฟล์รูปภาพ, วิดีโอ, เอกสาร, อิมเมจฮาร์ดดิสก์, และไฟล์บีบอัดแทบทุกสกุล ไปจนถึงไฟล์กุญแจเข้ารหัส จากนั้นจึงดาวน์โหลด Tor เพื่อเชื่อมต่อกับเซิร์ฟเวอร์แล้วเรียกค่าไถ่

ตัวไฟล์ข้อมูลของเหยื่อจะถูกเข้ารหัสด้วย AES-256 ที่สุ่มขึ้นมาในเครื่อง จากนั้นกุญแจของ AES จึงถูกเข้ารหัสอีกครั้งด้วยกุญแจสาธารณะ RSA-2048 ที่ติดมากับตัวมัลแวร์ 128 ชุด มัลแวร์จะเลือกกุญแจ RSA จากชื่อเครื่องและหมายเลขซีเรียลของโวลุ่มฮาร์ดดิสก์ บางครั้งกุญแจเข้ารหัสจึงซ้ำกันระหว่างเหยื่อคนละราย

ทาง Kaspersky ระบุว่าข้อผิดพลาดในการอิมพลีเมนต์การเข้ารหัสทำให้ทาง Kaspersky สามารถถอดรหัสให้กับเหยื่อได้ถึง 70% ขึ้นไป และเปิดให้ดาวน์โหลดเครื่องมือถอดรหัสได้ฟรี โดยยังไม่เปิดเผยว่าผู้ร้ายทำผิดอย่างไร

ผู้สร้าง TorLocker ขายเครื่องมือปรับแต่งมัลแวร์พร้อมกับรายงานความสำเร็จของลูกค้าในปีที่ผ่านมา ทั้งญี่ปุ่น, สหราชอาณาจักร, และอินโดนีเซีย

ที่มา - Kaspersky, The Register

Tags:
SSL

เหตุการณ์ CNNIC ออกใบรับรองให้กับ MCS Holdings นำไปออกใบรับรองของโดเมนอื่นๆ โดยไม่ได้รับอนุญาต ทำให้ทางกูเกิลและมอสซิลล่าประกาศถอด CNNIC ออกจากรายชื่อหน่วยงานรับรองที่เชื่อถือได้ และบังคับให้ CNNIC ต้องยื่นเรื่องสมัครเข้ามาใหม่พร้อมกับยอมรับเงื่อนไขเพิ่มเติม แต่ท่าทีของแอปเปิลและไมโครซอฟท์ตอนนี้ยังคงยอมรับ CNNIC ต่อไป

ไมโครซอฟท์ออกมาเตือนว่า MCS Holdings ออกใบรับรองสำหรับโดเมนที่ไม่ได้รับอนุญาตมาตั้งแต่แรกๆ และแบนใบรับรองของ MCS Holdings แต่ยังคงเชื่อถือใบรับรองของ CNNIC ต่อไปโดยไม่ได้ประกาศแนวทางลงโทษ CNNIC เพิ่มเติม ส่วนแอปเปิลนั้นยังไม่เคยประกาศเหตุการณ์ CNNIC ต่อสาธารณะ และอัพเดตล่าสุดก็ยังเชื่อถือ CNNIC ต่อไป

CNNIC ออกมาตอบโต้กูเกิลที่ถอดใบรับรองของตัวเองว่า "เป็นการตัดสินใจที่ยอมรับไม่ได้ และไม่สามารถเข้าใจได้" ทาง CNNIC เรียกร้องให้กูเกิลเห็นแก่ผลประโยชน์ของผู้ใช้ โดยยืนยันว่าทาง CNNIC ไม่ได้ออกใบรับรองเพื่อการดักฟังแบบ MITM และหลังจากพบการออกใบรับรองของ MCS Holdings ก็รีบยกเลิกใบรับรองโดยเร็ว

ที่มา - ThreatPost

Tags:

โครงการ Let's Encrypt ประกาศเปิดให้บริการรับรองตัวตนฟรี เพื่อสนับสนุนให้เว็บทั่วโลกเข้ารหัส ตอนนี้ใกล้ถึงเวลาเปิดบริการจริง (ประกาศไว้กลางปี 2015) ทาง The Linux Foundation ก็ประกาศเข้ามาช่วยดูแลโครงการให้

ทาง The Linux Foundation จะเข้ามาช่วยดูแลงานธุรการให้ ตั้งแต่การระดมทุน, การเงิน, สัญญา, การจัดซื้อ, และทรัพยากรบุคคล ขณะที่โครงการ Let's Encrypt จะเป็นโครงการลูกที่ได้รับเงินสนับสนุนโดยตรงจากภายนอก (independently funded)

แนวทางนี้ทำให้เงินที่บริจาคเข้า Let's Encrypt จะเข้าไปพัฒนาซอฟต์แวร์และเตรียมโครงสร้างสำหรับการสร้าง CA โดยตรง แทนที่จะเสียเงินกับงานธุรการไปบางส่วน

ที่มา - Let's Encrypt, The Linux Foundation

Tags:
Firefox

ไฟร์ฟอกซ์เปิดตัวรุ่น 37 ไปเมื่อสัปดาห์ที่แล้วมีฟีเจอร์สำคัญคือการเข้ารหัสแบบไม่ยืนยันตัวตน แต่ฟีเจอร์ใหม่นี้ทำให้แฮกเกอร์สามารถดักฟังการเชื่อมต่อแบบเข้ารหัสได้ และตอนนี้ไฟร์ฟอกซ์ก็ออกรุ่น 37.0.1 เพื่อปิดฟีเจอร์นี้ไปก่อน

มอสซิลล่าผู้พัฒนาไฟร์ฟอกซ์ไม่ได้เปิดเผยช่องทางการโจมตีโดยตรง แต่ระบุเพียงว่าช่องโหว่นี้เกี่ยวข้องกับข้อมูล Alt-Svc ที่ใช้กับฟีเจอร์นี้ และทางมอสซิลล่าเตรียมจะเปิดฟีเจอร์นี้กลับมาเมื่อตรวจสอบครบถ้วนแล้ว

ตัวบั๊กยังคงอยู่ในช่วงปกปิด หลังจากไฟร์ฟอกซ์ 37.0.1 กระจายไปทั่วแล้วเราคงเห็นข้อมูลเพิ่มเติมกันต่อไป

ที่มา - ArsTechnica

Tags:

โครงการ NTP ประกาศช่องโหว่สองช่อง ได้แก่ CVE-2015-1798 และ CVE-2015-1799 ทำให้เซิร์ฟเวอร์เทียบเวลาไม่สามารถเทียบเวลาได้ตามปกติ และถูกแก้ไขเวลาจากภายนอกได้

CVE-2015-1798 กระทบ ntp มาจนถึงเวอร์ชั่น 4.2.8p1 ทำให้แฮกเกอร์สามารถส่งข้อมูลที่ไม่มีโค้ดตรวจสอบความถูกต้อง (message authentication code - MAC) แต่ ntp ยังคงรับข้อมูลนั้นเข้ามาใช้งาน ทำให้เวลาอาจจะถูกแก้ไขตามความต้องการของแฮกเกอร์ได้

CVE-2015-1799 เป็นช่องโหว่ที่แฮกเกอร์ไปปลอมข้อมูลระหว่างเซิร์ฟเวอร์เทียบเวลาสองตัวที่จับคู่กันไว้ เมื่อได้รับข้อมูลจากแฮกเกอร์ ntp จะใช้ข้อมูลสถานะการเชื่อมต่อไปขอข้อมูลจากเซิร์ฟเวอร์จริง ส่งผลให้เซิร์ฟเวอร์ทั้งสองตัวไม่สามารถเทียบเวลากันได้อีกต่อไป

ช่องโหว่ทั้งสองอันถูกแก้ไขแล้ว ผู้ดูแลระบบที่ต้องการความแม่นยำของเวลาสูงๆ เช่นเซิร์ฟเวอร์เก็บล็อก ควรรีบอัพเดตครับ

ที่มา - CERT.org, ThreatPost

Tags:
Gmail

กูเกิลลืมเปลี่ยนใบรับรองรับ CA ระหว่างกลาง (intermediate CA) ชื่อว่า Google Internet Authority G2 หมายเลขประจำใบรับรอง 0x023A69 ที่หมดอายุไปเมื่อวันที่ 4 เมษายนที่ผ่านมา ส่งผลให้ผู้ใช้ที่ล็อกอินผ่าน SMTP ที่ใช้ใบรับรองนี้เข้าใช้งานไม่ได้เพราะโปรแกรมอ่านเมลอย่าง Thunderbird หรือโปรแกรมอื่นๆ จะเตือนว่าใบรับรองไม่น่าเชื่อถือ

บริการอื่นๆ ของกูเกิลเปลี่ยนใบรับรองเป็นใบรับรองหมายเลข 0x023A76 มาตั้งแต่ปี 2013 และจะหมดอายุในปี 2017 กูเกิลไม่ได้ให้ความเห็นว่าทำไมใบรับรองนี้จึงถูกลืมเปลี่ยนจนหมดอายุ

หน้าจอสถานะบริการของกูเกิลยืนยันปัญหานี้ตั้งแต่เริ่มเข้าวันที่ 5 เมษายนเวลา 12.21 น. เมื่อใบรับรองหมดอายุไป 21 นาที และเปลี่ยนใบรับรองให้ใหม่ในอีกสองชั่วโมงต่อมา

เมื่อต้นปี 2013 ไมโครซอฟท์ก็เคยลืมเปลี่ยนใบรับรองในบริการภายใน ทำให้ Azure หยุดทำงานไปหลายส่วน

ที่มา - SecurityWeek, Google Apps Status

Tags:
TrueCrypt

NCC Group ออกรายงานการตรวจสอบ TrueCrypt รอบที่สอง (PDF) หลังจากตรวจสอบรอบแรกไปเมื่อปีที่แล้ว รายงานฉบับนี้ตรวจสอบ TrueCrypt รุ่น 7.1a เฉพาะบนวินโดวส์เท่านั้น

รายงานพบช่องโหว่กระบวนการเข้ารหัสความร้ายแรงสูงสองจุด ระดับต่ำหนึ่งจุด และยังไม่สามารถจัดระดับได้อีกหนึ่งจุด แต่โดยรวมแล้วทีมงานไม่พบว่ามีช่องโหว่ร้ายแรงที่วางไว้อย่างจงใจแต่อย่างใด

จนทุกวันนี้ยังไม่มีใครรู้ตัวตนที่แท้จริงของผู้พัฒนา TrueCrypt แต่เมื่อปีที่แล้วนักพัฒนาออกรุ่น 7.2 ที่มีข้อความเตือนว่า TrueCrypt ไม่ปลอดภัยและเลิกพัฒนามาตั้งแต่นั้น ทุกวันนี้ยังสามารถหาโค้ดรุ่น 7.1a ที่ทำงานได้เต็มรูปแบบได้จากแหล่งอื่นๆ นอกเว็บ TrueCrypt เอง

ผู้ตรวจสอบโค้ดออกมาระบุว่า การที่นักพัฒนา TrueCrypt เลิกพัฒนาไปเป็นเรื่องน่าเสียดาย แต่หวังว่ากลุ่มอื่นๆ จะยังคงพัฒนากันต่อไป และการตรวจสอบ TrueCrypt รุ่น 7.1a ครั้งนี้ก็ทำให้กลุ่มอื่นๆ มีจุดตั้งต้นที่ดี

ที่มา - ArsTechnica

Tags:
USA

รัฐบาลโอบามาประกาศคำสั่งฝ่ายบริหาร (Executive Order) ให้อำนาจกับรัฐมนตรีกระทรวงการคลังร่วมกับอัยการสูงสุดและรัฐมนตรีกระทรวงต่างประเทศ สามารถสั่งคว่ำบาตรบุคคลหรือหน่วยงานที่เป็นภัยต่อความมั่นคงไซเบอร์ของสหรัฐฯ

หลังการประกาศมาตรการนี้ทางรัฐบาลไม่ได้ประกาศคว่ำมาตรใครตามออกมา แต่ทางทำเนียบขาวระบุว่าอำนาจใหม่นี้จะใช้เฉพาะกรณีที่ประเทศปลายทางมีกฎหมายความมั่นคงไซเบอร์ที่อ่อนแอ หรือไม่ตอบสนองต่อช่องทางปกติ

ก่อนหน้านี้สหรัฐฯ เคยระบุว่าเกาหลีเหนือเป็นผู้รับผิดชอบต่อการแฮกโซนี่ และเพิ่มมาตรการคว่ำบาตร

ที่มา - BBC

Tags:
Android

กูเกิลออกรายงานความปลอดภัยของ Android ประจำปี 2014 มีข้อมูลที่น่าสนใจดังนี้

  • แอพที่มีโอกาสเป็นอันตราย (potentially harmful applications หรือ PHA) ลดลงอย่างต่อเนื่อง โดยมีอุปกรณ์ Android น้อยกว่า 1% ที่ติดตั้ง PHA และถ้านับเฉพาะแอพที่ติดตั้งผ่าน Google Play มีน้อยกว่า 0.15%
  • มีอุปกรณ์ Android เกิน 1 พันล้านเครื่องที่เชื่อมต่อผ่าน Google Play และกูเกิลสแกนความปลอดภัยของอุปกรณ์เหล่านี้วันละ 200 ล้านเครื่อง
  • อัตราการติดตั้ง PHA ลดลงเกือบครึ่งหนึ่ง เมื่อเทียบต้นปี 2014 กับท้ายปี
  • ประเทศที่มีสัดส่วนการติดตั้ง PHA มากที่สุดคือจีน ตามด้วยรัสเซีย และสหรัฐอาหรับเอมิเรตส์
  • ตลอดปี 2014 กูเกิลและคู่ค้าปิดช่องโหว่ความปลอดภัยของ Android รวม 79 รายการ
  • Google Play Services มีเทคโนโลยีป้องกันการโจมตีที่ไม่ใช่แอพชื่อว่า Safety Net ตรวจสอบการเชื่อมต่อที่อาจเป็นอันตรายวันละ 400 ล้านครั้ง
Tags:
China

เมื่อวานนี้กูเกิลประกาศถอด root CA ของ CNNIC หน่วยงานรับรองตัวตนจากจีน วันนี้ทางมอสซิลล่าก็ออกมาประกาศแบบเดียวกัน

ประกาศของมอสซิลล่ามีรายละเอียดมากกว่าของกูเกิลเล็กน้อย โดยระบุว่าใบรับรองจาก CNNIC ทั้งหมดที่เริ่มใช้งานก่อนวันที่ 1 เมษายนที่ผ่านมา (ดูจากข้อมูล notBefore) จะยังคงใช้งานได้ต่อไป แต่ทั้งนี้ CNNIC จะต้องเปิดเผยรายชื่อใบรับรองเหล่านี้ให้กับทางมอสซิลล่า และหากมอสซิลล่าพบใบรับรองอื่นๆ ที่ไม่อยู่ในรายการที่ CNNIC ให้มา (แม้จะเป็นใบรับรองที่ถูกต้อง) ทางมอสซิลล่าอาจจะมีมาตรการเพิ่มเติมต่อไป

มอสซิลล่าระบุว่าหาก CNNIC ต้องการเพิ่ม root CA เข้ามาในซอฟต์แวร์ของมอสซิลล่าอีกครั้งจะต้องผ่านกระบวนการสมัครใหม่ทั้งหมดพร้อมกับกระบวนการเพิ่มเติมที่ชุมชนมอสซิลล่าอาจจะเรียกร้องภายหลัง

กรณีของมอสซิลล่ายังไม่ชัดเจนว่ากระบวนการเพิ่มเติมมีอะไรบ้าง แต่ในกรณีของกูเกิลนั้นเรียกร้องให้ CNNIC ต้องประกาศรายชื่อใบรับรองทั้งหมดผ่านกระบวนการ Certificate Transparency จึงรับพิจารณา

ที่มา - Mozilla

Tags:
Firefox

Firefox 37 เตรียมรองรับมาตรฐาน HTTP/2 มีฟีเจอร์หนึ่งเพิ่มเข้ามาสำหรับเซิร์ฟเวอร์ทั่วไป คือ opportunistic encryption (OE) เป็นการเข้ารหัสจากใบรับรองแบบรับรองตนเอง (self-signed) ที่แม้ว่าจะไม่ได้ช่วยยืนยันว่าเรากำลังเชื่อมต่อกับเซิร์ฟเวอร์อยู่จริง แต่ก็ป้องกันการดักฟังปกติที่ไม่ได้คั่นกลางการเชื่อมต่อ

เซิร์ฟเวอร์ที่รองรับมาตรฐานนี้จะต้องเป็นเซิร์ฟเวอร์ HTTP/2 และคอนฟิกให้รองรับการเชื่อมต่อแบบเข้ารหัสที่พอร์ต 443 โดยใช้ใบรับรองอะไรก็ได้ แม้แต่ใบรับรองแบบรับรองตัวเอง จากนั้นเพิ่มฟิลด์ Alt-Svc: h2=":443" เข้าไปใน HTTP header ของการเชื่อมต่อพอร์ต 80 ธรรมดา

เบราว์เซอร์จะตรวจสอบเองว่าสามารถเชื่อมต่อกับพอร์ต 443 ได้จริงหรือไม่ หากเชื่อมต่อได้ก็จะพยายามเชื่อมต่อแบบเข้ารหัส และเบราว์เซอร์จะจำไว้เสมอว่าเซิร์ฟเวอร์ใดสามารถเชื่อมต่อแบบเข้ารหัสได้ เมื่อเปิดเว็บครั้งต่อๆ ไปก็จะเชื่อมต่อแบบเข้ารหัสทันที

ที่มา - ArsTechnica

Tags:
Singapore

รัฐบาลสิงคโปร์ตั้งหน่วยงานใหม่ Cyber Security Agency of Singapore (CSA) สนับสนุนการให้พัฒนาระบบไอทีของหน่วยงานรัฐและเอกชนมีความมั่นคงปลอดภัยดีขึ้น

หน้าที่ของ CSA มีสี่อย่าง ได้แก่ สนับสนุนให้อุตสาหกรรมตระหนักถึงความสำคัญของความมั่นคงปลอดภัยไซเบอร์, พัฒนาอุตสาหกรรมความมั่นคงปลอดภัยไซเบอร์ให้มีกำลังคนเพียงพอต่อความต้องการ, ปกป้องโครงสร้างพื้นฐานของประเทศเช่นพลังงานและธนาคาร, อำนวยการให้มีความร่วมมือในการรับมือกับภัยต่างๆ

สิงคโปร์มองเห็นศักยภาพของอุตสาหกรรมความมั่นคงปลอดภัยไซเบอร์จากเหตุการณ์การโจมตีครั้งใหญ่ๆ และที่ผ่านมาเว็บรัฐบาลสิงคโปร์เองก็เคยถูกแฮกอยู่บ้าง ตอนนี้บริษัทสำคัญๆ เริ่มตั้งศูนย์ปฎิบัติการในสิงคโปร์ เช่น FireEye, Boeing, และล่าสุดตำรวจสากลก็ประกาศจะตั้งศูนย์อาชญากรรมไซเบอร์ในสิงคโปร์

ผมหาข้อมูลไม่พบว่า CSA ของสิงคโปร์มีอำนาจเหมือนในร่าง พ.ร.บ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ของบ้านเราที่ให้อำนาจ ขอข้อมูล เอกสาร เรียกคนมาให้การ, สั่งหน่วยงานรัฐและเอกชนให้ทำตาม, หรือดักฟังข้อมูลทุกรูปแบบ แต่อย่างใด

ต้องขอบคุณสพธอ. ของไทยที่เสนอให้อำนาจหน่วยงานความมั่นคงไซเบอร์ล้ำหน้ากว่าชาติอื่นๆ

ที่มา - Wall Street Journal

Tags:
Chrome

กูเกิลอัพเดตการตกลงระหว่างกูเกิลและ CNNIC ที่ออกใบรับรองให้กับ MCS Holdingsไปใส่พรอกซี่ดักฟัง ล่าสุดกูเกิลประกาศว่าจะถอด root CA ทั้งสองตัวของ CNNIC ออกจาก Chrome แล้ว แม้จะให้เวลาอีกระยะหนึ่งกับลูกค้าของ CNNIC ก่อนหน้านี้ให้เปลี่ยน CA โดยระหว่างนี้ถือว่าใบรับรองของลูกค้า CNNIC ที่ออกมาก่อนหน้านี้ยังคงน่าเชื่อถือไปอีกระยะหนึ่ง

CNNIC สัญญาว่าจะรองรับ Certificate Transparency กับใบรับรองทุกใบที่ออกมา จากที่ก่อนหน้านี้ CA รายอื่นๆ มักรองรับเฉพาะใบรับรองแบบ EV เมื่อรับรองเรียบร้อยทาง CNNIC จึงดำเนินการขอให้กูเกิลกลับเข้ามารองรับ CA ของ CNNIC อีกครั้ง

แม้ว่าคนที่ใช้ CA อย่างผิดพลาดจะเป็น MCS Holdings แต่ CNNIC เป็น root CA ที่ไปให้การรับรองก็ต้องร่วมรับผิดชอบอย่างปฎิเสธไม่ได้

ผู้ใช้ Chrome ไม่ต้องทำอะไร เพียงแค่รออัพเดตรอบหน้าก็จะถอน root CA ของ CNNIC ออกไปเองทั้งสองใบ

ที่มา - Google Online Security

Tags:
China

ข่าวนี้ต่อจากข่าวการโจมตี GitHub โดยแก้สคริปต์โฆษณาของไป่ตู้ และทางไป่ตู้จีนก็ออกมายืนยันแล้วว่าระบบของบริษัทไม่ได้ถูกแฮก วันนี้ทางไป่ตู้ประเทศไทยออกข่าวประกาศแบบเดียวกันว่าระบบของบริษัทไม่ได้ถูกแฮกและวิศวกรของไป่ตู้กำลังทำงานร่วมกับองค์กรรักษาความปลอดภัยเพื่อหาสาเหตุต่อไป

รายงานแรกของ Insight Labs นั้นระบุว่าโค้ดจาวาสคริปต์ http://hm.baidu.com/h.js นั้นมีคำสั่งโหลดหน้าเพจ GitHub ฝังมา หากระบบของทางไป่ตู้ไม่ได้ถูกแฮก ความเป็นไปได้ต่อไปคือข้อมูลจากไป่ตู้ถูกแก้ไขระหว่างทาง (ซึ่งเป็นไปได้เพราะเป็นทราฟิก HTTP ธรรมดา) ความเห็นของนักวิจัย F-Secure ระบุว่าผู้โจมตีต้องมีอำนาจเข้าไปเปลี่ยนแปลงข้อมูลเข้าออกจากจีน ความสามารถระดับนี้ทำให้ทางการจีนกลายเป็นผู้ต้องสงสัยต่อไป

กระทรวงต่างประเทศจีนตอบข้อสงสัยนี้ในการตอบคำถามประจำสัปดาห์ ระบุว่า เป็นเรื่องแปลกแฮกเกอร์จีนถูกสงสัยทุกครั้งที่มีเว็บในสหรัฐฯ หรือชาติอื่นๆ ถูกโจมตี ทางกระทรวงต่างประเทศย้ำว่ารัฐบาลจีนเป็นเหยื่อรายหนึ่งของการโจมตีไซเบอร์ และทางการจีนหวังจะทำงานร่วมกับนานาชาติเพื่อสร้างกฎระดับชาติเพื่อรักษาให้อินเทอร์เน็ตมีความปกติสุข, มั่นคงปลอดภัย, เปิดกว้าง, และมีความร่วมมือ และทางกระทรวงหวังว่าทุกฝ่ายจะทำงานร่วมกันเพื่อแก้ไขการโจมตีเช่นนี้อย่างสร้างสรรค์

ที่มา - Ministry of Foreign Affairs, the People's Republic of China, จดหมายข่าวไป่ตู้

Tags:
GitHub

ต่อจากข่าว จีนดักแก้ทราฟฟิกโฆษณาจากเว็บ Baidu ให้กลายเป็นสคริปต์​โจมตี DDoS เว็บ GitHub ทางฝั่งของ GitHub ก็ออกมาเผยข้อมูลว่าถูกโจมตีจริงๆ โดยเริ่มตั้งแต่วันที่ 26 มีนาคมที่ผ่านมา

GitHub บอกว่าการโจมตีมีทั้งเทคนิคแบบเดิมๆ ที่เคยพบมา และเทคนิคใหม่ที่ใช้คนที่ไม่มีส่วนเกี่ยวข้องช่วยกันยิง GitHub (ซึ่งก็คือเทคนิคในข่าวก่อนหน้านี้) ส่วนแรงจูงใจของการโจมตีคาดว่าน่าจะต้องการให้ GitHub ลบเนื้อหาบางอย่างออกจากเว็บ (หน้าเพจของ GitHub ที่โดนยิง คือเนื้อหาจากเว็บที่โดนแบนในประเทศจีน ได้แก่เว็บ Greatfire.org และ Chinese New York Times) ทางเว็บทิ้งท้ายว่าจะทำงานเต็มที่เพื่อให้ GitHub ใช้งานได้อย่างต่อเนื่อง

ฝั่งของ Baidu ออกมาปฏิเสธว่าไม่เกี่ยวข้องกับการโจมตีครั้งนี้ และระบบของตัวเองก็ไม่ได้ถูกแฮ็กเพื่อใช้เป็นฐานถล่ม GitHub แต่อย่างใด ส่วนนักวิจัยของบริษัทความปลอดภัย F-Secure ให้สัมภาษณ์ว่าทางการจีนน่าจะมีส่วนเกี่ยวข้องด้วย เพราะแฮ็กเกอร์สามารถเข้าถึงโครงข่ายสำคัญของจีนได้

ที่มา - GitHub, Wall Street Journal

Tags:

Slack หนึ่งในบริการและแอพพลิเคชันสำหรับการทำงานร่วมกัน (อ่านรายละเอียดเพิ่มเติมที่นี่) ออกมาประกาศเมื่อกลางดึกที่ผ่านมา (ตามเวลาในประเทศไทย) ว่าระบบฐานข้อมูลผู้ใช้งานถูกแฮกในเดือนกุมภาพันธ์ ซึ่งกินระยะเวลานาน 4 วัน

Slack ระบุว่าฐานข้อมูลดังกล่าวบรรจุทั้งชื่อผู้ใช้, อีเมล, รหัสผ่านที่ถูกเข้ารหัส (hashed) อีกชั้นหนึ่ง และข้อมูลอื่นๆ ซึ่งผู้ใช้เลือกที่จะใส่เอาไว้ (เช่น ชื่อผู้ใช้ Skype) โดยระบุว่าไม่มีผู้ได้รับผลกระทบในด้านการเงินจากการถูกแฮก รวมไปถึงผู้เจาะระบบไม่สามารถถอดรหัสของรหัสผ่านเอาไว้ได้ แต่มีผู้ใช้บางรายที่อาจจะได้รับผลกระทบ และทาง Slack ได้ติดต่อเพื่อขอให้เปลี่ยนรหัสผ่านบ้างแล้ว

มาตรการหลังจากนี้ของ Slack คือการเปิดให้ใช้งานการยืนยันตัวตนขั้นที่สอง (two factor authentication) พร้อมคุณสมบัติในการ "ลบรหัสผ่าน" (password kill switch) สำหรับหัวหน้าทีม ซึ่งเมื่อสั่งใช้งาน จะทำการลบรหัสผ่านของทีมทุกคน และผู้ใช้จะต้องไปตั้งรหัสผ่านใหม่เองทั้งหมดครับ

ที่มา - Slack

Tags:
China

หลังจาก MCS Holdings ออกใบรับรองของกูเกิลโดยไม่ได้รับอนุญาต รายงานข่าวนี้กำลังถูกเซ็นเซอร์อย่างหนักในจีน ทาง GreatFire รายงานข่าวสี่แหล่งสำคัญที่ถูกกดดันให้ลบข้อมูล

  • William Long บล็อกเกอร์ไอที รายงานเรื่องนี้และถูกโทรมาสั่งให้ลบโพสออก
  • สำนักข่าว Hianqiu ของรัฐบาลจีนรายงานข่าวจากบล็อกของมอสซิลล่า แต่ก็ลบไปภายหลัง
  • CNBeta เว็บข่าวไอทีอันดับต้นๆ ของจีนลบรายงานเรื่องนี้ออกไป
  • CSDN ชุมชนไอทีใหญ่ที่สุดในจีนลบข่าวนี้

ทาง GreatFire เรียกร้องให้กูเกิล, มอสซิลล่า, ไมโครซอฟท์, และแอปเปิล ถอดใบรับรองของ CNNIC ออกจากรายการใบรับรองที่เชื่อถือ

ที่มา - GreatFire