Tags:
FreeBSD

ภายใต้บรรยากาศของความไม่วางใจว่าระบบรักษาความปลอดภัยอะไรจะถูกสร้างช่องโหว่โดย NSA ไว้บ้าง ระบบยูนิกซ์ที่เน้นเรื่องความปลอดภัยอย่าง FreeBSD ก็ประกาศว่าจะไม่ใช้งานตัวสร้างเลขสุ่มในซีพียู มาเป็นตัวสร้างเลขสุ่มของระบบปฎิบัติการโดยตรงอีกต่อไป

อินเทลและ VIA มีชุดคำสั่งพิเศษสำหรับการสร้างเลขสุ่มด้วยฮาร์ดแวร์ในตัวซีพียูเอง ฟีเจอร์สำคัญของตัวสร้างเลขสุ่มฮาร์ดแวร์คือให้ค่าสุ่มที่ดีและสามารถปล่อยค่าออกมาได้รวดเร็ว ตัว RDRAND สามารถสร้างค่าสุ่มได้ถึง 800 เมกกะไบต์ต่อวินาที

การที่ FreeBSD ไม่ใช้ชุดคำสั่งจากซีพียูโดยตรง ไม่ได้แปลว่าจะทิ้งไม่ใช้คำสั่งเหล่านี้ไปเสียหมด โดยจะเปลี่ยนไปใช้ค่าสุ่มจากฮาร์ดแวร์เหล่านี้ เข้าไปเป็นค่าเริ่มต้นของการสร้างเลขสุ่มเทียมที่ใช้อัลกอริทึม Yarrow เพื่อเพิ่มความสุ่มในกรณีให้ปลอดภัยขึ้น

คำสั่งการดึงค่าสุ่มจากซีพียูโดยตรงยังสามารถทำได้ด้วยการเรียกคำสั่งแอสแซมบลี ไลบรารีบางตัวที่ไม่ได้ใช้ค่าจาก /dev/random ก็อาจจะใช้ค่าโดยตรงจากซีพียูต่อไป

กระบวนการผสมค่าสุ่มมีความพิเศษอย่างหนึ่ง คือ เราสามารถสร้างค่าสุ่มใหม่ด้วยการใช้แหล่งค่าสุ่มสองแหล่งมา XOR กัน แล้วจะได้ค่าสุ่มที่ดีกว่าเดิมหรือเท่ากับค่าเดิมเสมอ ไม่มีทางแย่ลง

ที่มา - ArsTechnica

Tags:
France

กูเกิลประกาศว่าตรวจพบใบรับรอง SSL ที่ระบุถึงโดเมนของกูเกิลถูกรับรองจาก ANSSI หน่วยงานด้านความปลอดภัยคอมพิวเตอร์ของฝรั่งเศส ทำให้กูเกิลต้องเร่งอัพเดต Chrome เพื่อยกเลิกการยอมรับใบรับรองเหล่านั้นทั้งหมด

ทาง ANSSI ระบุว่าการปล่อยใบรับรองปลอมเหล่านี้ออกไปเป็น "ความผิดพลาดของผู้ใช้" (human error) ทำให้มีใบรับรองที่ไม่ได้อยู่ใต้รัฐบาลฝรั่งเศสถูกปล่อยออกไป

หากมีหน่วยงานใดได้รับใบรับรองและกุญแจส่วนลับของใบรับรองเหล่านี้ไปก็จะสามารถดักฟังข้อมูลเข้าออกโดเมนเหล่านี้ของกูเกิลได้ ด้วยการทำ man-in-the-middle

ที่มา - Google Online Security, ANSSI

Tags:
CyanogenMod

CyanogenMod ประกาศเพิ่มแอพพลิเคชั่น TextSecure เข้ามาเป็นตัวเลือกในการรับส่ง SMS แทนแอพพลิเคชั่นปกติ ทำให้สามารถเข้ารหัส SMS ทั้งหมดได้

ในความร่วมมือนี้ ทาง CyanogenMod จะตั้งเซิร์ฟเวอร์ TextSecure เองอีกหนึ่งชุดเพราะโปรโตคอล TextSecure เปิดให้ส่งข้อความได้ทั้งทางอินเทอร์เน็ตและทาง SMS

TextSecure เองเป็นโครงการที่มีมานานและมีผู้ใช้หลายแสนราย แต่การร่วมมือกับ CyanogenMod จะทำให้เข้าถึงผู้ใช้อีกนับล้านคน นับเป็นการเข้าถึงผู้ใช้ครั้งใหญ่ที่สุดของโครงการนี้

ที่มา - WhisperSystem

Tags:
Microsoft

ในยุคของ Windows 8.x บัญชี Microsoft Account มีความสำคัญมากขึ้นเรื่อยๆ เพราะสามารถใช้ล็อกอินเป็นบัญชีผู้ใช้ของ Windows ได้ด้วย

เพื่อลดปัญหาการถูกแฮ็กบัญชี ไมโครซอฟท์จึงเพิ่มฟีเจอร์ด้านความปลอดภัยให้บัญชี Microsoft Account จากการล็อกอินสองชั้นที่เคยประกาศไปแล้ว ดังนี้

  • Recent activity แสดงรายการการล็อกอินเข้ามาใช้งานครั้งล่าสุด เพื่อตรวจสอบว่ามีการใช้งานแปลกๆ ที่ไม่ใช่ของเราหรือไม่
  • Recovery codes สำหรับคนที่เปิดใช้ระบบการล็อกอินสองชั้น ก็มีโค้ดสำหรับกู้คืนบัญชีในกรณีที่ไม่สามารถกู้คืนด้วยวิธีอื่นได้
  • เพิ่มตัวเลือกในการแจ้งเตือนที่เกี่ยวข้องกับความปลอดภัย (เช่น เปลี่ยนรหัสผ่าน) ไปยังอีเมลหรือเบอร์โทรศัพท์ที่ลงทะเบียนไว้

ที่มา - The Official Microsoft Blog

Tags:
Gmail

ปัญหาอย่างหนึ่งของอีเมลคือมันสามารถปลอมแปลงตัวตนของผู้ส่ง เพื่อหลอกลวงในลักษณะ phishing ได้ง่าย หน่วยงานในโลกไอทีต่างๆ จึงพยายามแก้ปัญหาด้วยระบบการยืนยันตัวตนของผู้ส่ง ซึ่งที่ได้รับความนิยมมี 2 มาตรฐานคือ DKIM (DomainKey Identified Email) และ SPF (Sender Policy Framework)

ความยากของการบังคับใช้มาตรฐานเหล่านี้คือโฮสต์ที่ใช้ส่งอีเมลมีเป็นจำนวนมาก และไม่มีใครรู้ว่าปัจจุบันนี้โฮสต์หรือเซิร์ฟเวอร์อีเมลเหล่านี้ใช้งานมาตรฐานเหล่านี้มากน้อยแค่ไหน

สถิติล่าสุดของกูเกิลในฐานะผู้ให้บริการ Gmail แสดงทิศทางในเชิงบวก เพราะ 91.4% ของอีเมลที่ส่งเข้ามายัง Gmail (ไม่นับรวมพวกอีเมลสแปม) ใช้งาน DKIM หรือ SPF แล้ว (ใช้ทั้งสองอย่างเยอะถึง 74.7%) เหลืออีเมลเพียง 8.6% ที่ยังไม่มีระบบยืนยันตัวตนของผู้ส่งเท่านั้น

กูเกิลให้ความเห็นว่ายิ่งมีโดเมนอีเมลที่ใช้ระบบยืนยันตัวตนมากเท่าไร ก็ยิ่งทำให้โดเมนที่ไม่มีระบบเหล่านี้กลายเป็นเป้าหมายของผู้ส่ง phishing มากขึ้นเรื่อยๆ ดังนั้นใครที่ดูแลระบบอีเมลอยู่ก็ควรเปลี่ยนมาใช้ระบบ DKIM/SPF กันโดยด่วน

ที่มา - Google Online Security

Tags:
Microsoft

ปัญหาการตั้งรหัสผ่านไม่ดี ทำให้แฮกเกอร์ถอดรหัสผ่านออกมาได้ง่ายเป็นปัญหาที่ยังแก้ไม่ตกของระบบรักษาความปลอดภัยคอมพิวเตอร์ แม้ที่ผ่านมาจะมีกระบวนการ "วัด" ความแข็งแรงของรหัสผ่านกันออกมาหลายรูปแบบ ตอนนี้ Microsoft Research เสนอแนวทางใหม่ในการแนะนำผู้ใช้ให้สร้างรหัสผ่านให้ปลอดภัย ด้วยการแนะนำผู้ใช้ทีละตัวอักษรว่าไม่ควรใช้ตัวอักษรใดต่อไป ในชื่อว่า Telepathwords

ด้วยวิธีการนี้ ทุกครั้งที่ผู้ใช้พิมพ์รหัสผ่านเพื่อตั้งรหัสผ่านครั้งแรก ซอฟต์แวร์จะแนะนำว่าไม่ควรใช้ตัวอักษรใดเป็นตัวต่อไป เพราะคาดเดาได้ง่ายเกินไป เช่น เมื่อพิมพ์ตัว "t" จะแนะนำว่าไม่ควรใช้ตัว "h", "o", และ "v" ต่อ เพราะพบบ่อยในภาษาอังกฤษ

ผมอ่านแนวคิดของงานวิจัยนี้แล้ว มันคือการกลับข้างของ "คีย์บอร์ดแม่นแม่น" ที่พยายามแนะนำว่าคนทั่วไปมักพิมพ์ตัวอักษรใดเป็นตัวต่อไปนั่นเอง

Telepathwords เป็นงานวิจัยร่วมระหว่างนักวิจัยของไมโครซอฟท์และนักศึกษาปริญญาเอกจากมหาวิทยาลัย Carnegie Mellon (รายชื่ออยู่ในที่มา)

ที่มา - Telepathwords, Schneier on Security

Tags:
CNN

มีรายงานข่าวผ่าน CNNMoney ว่ามีแฮกเกอร์ได้ทำการดักข้อมูลผู้ใช้ด้วยวิธี keylogging ทำให้แฮกเกอร์ได้ข้อมูลบัญชีผู้ใช้เวบไซต์ต่างๆ เกือบ 2 ล้านบัญชี เช่น Facebook Twitter Yahoo Google และอื่นๆ

นักวิจัยความปลอดภัยทางไซเบอร์จากบริษัท Trustwave ได้ให้ข้อมูลว่าไวรัส(น่าจะเป็นมัลแวร์ - ผู้เขียน)นี้จะทำการดักจับข้อมูลการล็อคอินเว็บไซต์ของผู้ใช้ในช่วงเดือนที่ผ่านมา และทำการส่งชื่อผู้ใช้และรหัสผ่านกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ โดยจำนวนคอมพิวเตอร์ที่ติดไวรัสนี้ยังไม่ทราบจำนวนแน่ชัดว่ามีจำนวนเท่าใด

Tags:
Obama

ประธานาธิบดีบารัค โอบามา ตอบคำถามระหว่างการพบปะกับกลุ่มเยาวชน ในประเด็นเรื่องอุปกรณ์ไอทีที่เขาใช้งาน

เขาบอกว่าไม่ได้รับอนุญาตให้ใช้ iPhone ได้เพราะเหตุผลด้าน "ความปลอดภัย" (security reasons) แต่เขาก็ยังมีผลิตภัณฑ์อื่นของแอปเปิลคือ iPad ไว้ใช้งาน

เป็นที่รู้กันดีว่าโอบามาใช้มือถือ BlackBerry มานาน และเมื่อเขาชนะการเลือกตั้งได้เป็นประธานาธิบดี ทางทีมของทำเนียบขาวก็อนุญาตให้เขายังใช้ BlackBerry ต่อไปได้ (แต่ไม่มีข้อมูลว่าปัจจุบันเขาใช้ BlackBerry รุ่นไหนกันแน่)

ที่มา - Reuters

Tags:
Microsoft

หลังจากกูเกิลและยาฮูประกาศเข้ารหัสข้อมูลทั้งหมดไปก่อนแล้ว ตอนนี้ไมโครซอฟท์ก็ออกมาแถลงถึงกำหนดการการเข้ารหัส โดยไมโครซอฟท์แสดงถึงความโปร่งใสสามส่วนเพื่อรับประกันว่าข้อมูลผู้ใช้จะไม่ถูกดักฟังโดยรัฐ ได้แก่ การเข้ารหัสระหว่างศูนย์ข้อมูล, การเข้ารหัสการรับส่งข้อมูลจากลูกค้า, การเปิดเผยโค้ดในซอฟต์แวร์เพื่อรับประกันว่าจะไม่มีการใส่ประตูลับไว้ในโค้ด

ไมโครซอฟท์สัญญาว่าภายในปี 2014 จะปรับบริการหลักๆ ได้แก่ Outlook.com, Office365, SkyDrive, และ Windows Azure ให้รองรับการเข้ารหัสที่แข็งแกร่งขึ้น

  • บริการหลักเหล่านี้จะเข้ารหัสเมื่อติดต่อกับลูกค้าเสมอ
  • การเข้ารหัสจะปรับไปใช้กุญแจขนาด 2048 บิต และรองรับความเป็นความลับในอนาคตแม้กุญแจหลุดออกไป
  • บริการจะมีตัวเลือกให้เข้ารหัสข้อมูลที่เก็บบนเซิร์ฟเวอร์ไมโครซอฟท์ได้
  • ไมโครซอฟท์จะทำความร่วมมือกับผู้ให้บริการภายนอกที่ไมโครซอฟท์ต้องเชื่อมต่อด้วย เช่น อีเมล ให้เชื่อมต่อกันแบบมีการเข้ารหัส

ที่น่าสนใจคือไมโครซอฟท์ออกมาระบุว่าจะมีการเคลื่อนไหว "ทางกฎหมาย" เพื่อปกป้องความเป็นส่วนตัวของลูกค้า ไมโครซอฟท์จะแจ้งลูกค้าที่เป็นองค์กรและรัฐบาลหากมีคำขอค้นข้อมูลที่เกี่ยวข้องกับลูกค้าเหล่านี้ และไมโครซอฟท์จะยื่นคำคัดค้านหากมีการขอค้นข้อมูลที่อยู่นอกอำนาจศาลของแต่ละประเทศ

สำหรับประเด็นความโปร่งใส ไมโครซอฟท์จะเปิดให้หน่วยงานรัฐของประเทศต่างๆ เข้าตรวจสอบซอร์สโค้ดของซอฟต์แวร์เพื่อยืนยันว่าจะไม่มีประตูลับสำหรับรัฐบาลใดๆ

ที่มา - TechNet

Tags:
D-Link

เมื่อสองเดือนก่อนมีรายงานถึงช่องโหว่ของเรท์เตอร์หลายรุ่นของ D-Link ที่มีช่องทางลับสามารถเข้าไปจัดการระบบได้โดยไม่ต้องมีรหัสผ่าน ตอนนี้ทาง D-Link ก็ปล่อยแพตซ์แก้ปัญหานี้ออกมาแล้ว

พร้อมกับปล่อยแพตซ์ ทาง D-Link ระบุว่าตอนนี้มีอีเมลลวงให้ผู้ใช้กดลิงก์เพื่อเข้าจัดการเราท์เตอร์ ทาง D-Link จึงออกประกาศว่าทางบริษัทไม่ได้ส่งอีเมลเหล่านั้น และเตือนให้ผู้ใช้ปิดช่องทางเข้าแอดมินทางพอร์ต WAN

รายชื่อเราท์เตอร์ที่ได้รับแพตซ์ในรอบนี้ได้แก่ DI-524, DI-524UP, DIR-604+, DIR-604UP, DIR-624S, TM-G5240, DIR-100, และ DIR-120

ช่องโหว่แบบเดียวกันยังมีรายงานในเราท์เตอร์ Planex และ Alpha Networks แต่ยังไม่มีแพตซ์ออกมาแต่อย่างใด

ที่มา - D-Link, Net-Security

Tags:
Akamai

Akamai ผู้ให้บริการ CDN ที่ใหญ่ที่สุดในโลก (ไม่นับบริษัทที่สร้าง CDN ใช้เอง) ครองทราฟิกอินเทอร์เน็ตทั้งโลกเกือบ 20% เข้าซื้อบริษัทให้บริการป้องกันการโจมตีออนไลน์ Prolexic Technologies ผู้ให้บริการป้องกัน DDoS ด้วยมูลค่าประมาณ 370 ล้านดอลลาร์ เป็นเงินสด

การเข้าซื้อครั้งนี้มีเหตุผลชัดเจน คือ Akamai ต้องการเทคโนโลยีต่อสู้กับ DDoS ของ Prolexic เพื่อมาประกอบเข้ากับบริการ CDN ของตัวเอง ให้บริการเว็บประสิทธิภาพสูงแก่ลูกค้า แบบเดียวกับ CloudFlare ทุกวันนี้

ที่มา - Prolexic, Reuters

Tags:
Linux

Symantec ค้นพบเวิร์มบนลินุกซ์ชื่อ Linux.Darlloz ที่อาศัยช่องโหว่เก่าของ PHP (ถูกแพตช์ตั้งแต่เดือน พ.ค. 2012) ในการแพร่กระจายตัวไปยังอุปกรณ์ต่างๆ

เวิร์มตัวนี้ยังไม่สร้างอันตรายให้กับระบบมากนัก เป็นแค่การทดสอบของแฮ็กเกอร์ผู้สร้างเวิร์มว่ามันทำงานได้จริงหรือไม่ (ตอนนี้ยังมีผลเฉพาะอุปกรณ์ที่เป็น x86 เท่านั้น) แต่ก็จะเริ่มมีเวิร์มเวอร์ชันกลายพันธุ์ที่มุ่งโจมตีอุปกรณ์ที่ใช้ซีพียูสถาปัตยกรรมอื่นแล้ว

เป้าหมายของมันคืออุปกรณ์ฝังตัวขนาดเล็กที่เชื่อมต่อเน็ตแต่ไม่ใช่พีซี (internet of things) และรันระบบปฏิบัติการลินุกซ์และมีเว็บเซิร์ฟเวอร์ฝังติดมาด้วย (เช่น wireless router ตามบ้านที่หน้า admin เป็น PHP รุ่นเก่าๆ และไม่เคยถูกอัพเดตเลย) เบื้องต้น Symantec แนะนำให้อัพเดตอุปกรณ์เหล่านี้เป็นเฟิร์มแวร์เวอร์ชันล่าสุดจากผู้ผลิต ตั้งรหัสผ่านให้แข็งแรง และบล็อคทราฟฟิก HTTP POST ที่โจมตีเข้ามายังพาธของระบบที่ระบุ (ดูรายละเอียดในที่มา)

ที่มา - Symantec via Ars Technica

Tags:

มัลแวร์รูปแบบใหม่ที่ระบาดมากในช่วงหลังคือมัลแวร์แบบเรียกค่าไถ่ข้อมูล หรือ ransomware ที่เข้ารหัสข้อมูลในเครื่องแล้วแจ้งให้จ่ายเงินเพื่อขอรหัสผ่านมาปลดล็อกไฟล์ในเครื่อง

ก่อนหน้านี้มัลแวร์เหล่านี้มักใช้กระบวนการที่อ่อนแอ มัลแวร์บางตัวใช้กุญแจเข้ารหัสเดิมเสมอ ทำให้สามารถหากุญแจมาถอดรหัสได้ตามอินเทอร์เน็ต บางตัวอาจจะใช้กุญแจขนาดเล็ก ทำให้ถอดรหัสได้ง่าย หลายตัวติดต่อเซิร์ฟเวอร์เดิมตลอดเวลา

แต่ CryptoLocker ซึ่งเป็น ransomware ตัวหนึ่งที่เคยเข้ารหัสข้อมูลผู้ใช้อย่างอ่อนแอเช่นกัน ในรุ่นล่าสุดกลับพัฒนาขึ้นอย่างรวดเร็ว มันใช้กระบวนกวนสร้างโดเมนใหม่ทุกครั้งสำหรับการติดต่อกับเซิร์ฟเวอร์ ทำให้บล็อคโดเมนได้ยาก และกระบวนการเข้ารหัสจะติดต่อกับเซิร์ฟเวอร์เพื่อขอดาวน์โหลดกุญแจมาทางช่องทางเข้ารหัส

OpenDNS ระบุว่าเริ่มแกะกระบวนการสร้างโดเมนมาได้บางส่วนแล้ว และบล็อคการเชื่อมต่อไปได้บ้าง โดยเมื่อมัลแวร์ยังติดต่อเซิร์ฟเวอร์ไม่ได้ก็จะไม่เข้ารหัสไฟล์ในเครื่องเพราะยังไม่ได้รับกุญแจ แม้เครื่องผู้ใช้จะติดมัลแวร์ไปแล้วก็ตาม

ทางแก้ปัญหาในเรื่องนี้ที่ดีที่สุดคงเป็นการสำรองไฟล์ให้สม่ำเสมอครับ แต่อีกทางคือการป้องกันตัวเองจากมัลแวร์กันให้ดี

ที่มา - eWeek

Tags:
Google Nexus

Bogdan Alecu พนักงานด้านไอทีของบริษัท Levi9 ในเนเธอร์แลนด์ ค้นพบช่องโหว่ใหม่ในมือถือตระกูล Nexus ของกูเกิล (ไม่เกิดกับ Android ยี่ห้ออื่น) ที่รัน Android 4.x ขึ้นไป (รวมถึง KitKat ด้วย)

ช่องโหว่นี้ต้องใช้ร่วมกับการส่ง SMS Class 0 หรือที่เรียกกันทั่วไปว่า Flash SMS ซึ่งเป็น SMS แบบพิเศษตามมาตรฐาน GSM ที่ส่งแล้วแสดงผลขึ้นจอทันทีและไม่เก็บในกล่องข้อความของเครื่อง (มักใช้ในการแจ้งเตือนภัยพิบัติต่างๆ)

เมื่อมือถือ Nexus ได้ข้อความประเภท Flash SMS แล้วจะแสดงกล่องข้อความขึ้นจอแบบเงียบๆ (ไม่มีเสียงแจ้งเตือน SMS) และถ้าส่ง Flash SMS เข้ามาเยอะๆ (ประมาณ 20-30 ข้อความ) โดยที่ผู้ใช้ไม่กดปิดข้อความเดิม ก็จะทำให้ Nexus เริ่มรวนจนไม่สามารถรับสายหรือต่ออินเทอร์เน็ตได้ ทางแก้เดียวคือต้องรีบูตเครื่องเท่านั้น

Alecu บอกว่าพยายามแจ้งบั๊กนี้ไปยังกูเกิลแต่ก็ไม่ค่อยได้รับการตอบสนอง ทีม Android คนหนึ่งเคยแจ้งว่าจะแก้ใน Android 4.3 แต่ก็ไม่ได้แก้ เขาจึงเปิดเผยข้อมูลบั๊กนี้ต่อสาธารณะแทน ส่วนโฆษกของกูเกิลก็ให้ข้อมูลหลังจากข่าวนี้แพร่ออกไปว่ากำลังสอบสวนอยู่

ที่มา - PC World

Tags:
Ruby

ปัญหาความปลอดภัยจากการออกแบบของ Ruby on Rails (RoR) อาจจะทำให้หลายบริการตกอยู่ในความเสี่ยงที่แฮกเกอร์สามารถนำ cookie เดิมมาใช้งานซ้ำได้ เพราะการจัดเก็บข้อมูลซ้ำ ทำให้เว็บแอพพลิเคชั่นที่ไม่ระวัง กลับใส่ข้อมูลการล็อกอินเอาไว้ใน CookieStore ทำให้แฮกเกอร์ที่ดักจับ cookie จากเบราว์เซอร์ผู้ใช้ได้สามารถนำกลับมาใช้ใหม่ได้เรื่อยๆ แม้ว่าผู้ใช้จะล็อกเอาต์ไปแล้ว

กระบวนการนี้ไม่ได้เป็นปัญหาของ Rails โดยตรงเพราะที่จริงแล้วมี ActiveRecordStore ให้เลือกใช้ และลบข้อมูลออกไปเมื่อผู้ใช้ล็อกเอาต์ แต่ค่าเริ่มต้นของ Rails ที่ใช้ CookieStore แล้วยืนยันว่า cookie เป็นข้อมูลที่ได้รับจากเซิร์ฟเวอร์ด้วยกระบวนการ "เซ็น" (sign) จากการแฮชข้อมูลรวมกับค่าข้อมูลลับ การยกเลิกข้อมูลที่เซ็นไปแล้วนี้มีทางเดียวคือการขอให้เบราว์เซอร์ลบข้อมูลนี้ทิ้งไป แต่เมื่อแฮกเกอร์ดักข้อมูลนี้ได้ แฮกเกอร์ก็สามารถนำค่านี้กลับมาใช้งานได้เรื่อยๆ

ปัญหานี้มีผลกระทบตั้งแต่ Rails รุ่น 2.0 ถึง 4.0 การแก้ไปใช้ ActiveRecordStore จะมีปัญหาต้องแก้แอพพลิเคชั่นและต้องวางแผนเมื่อใช้งานข้อมูลจากหลายฐานข้อมูล

ที่มา - Maverick Blogging, Threat Post

Tags:
Microsoft

ข่าวการดักฟังข้อมูลของบริษัทต่างๆ ทำให้ผู้ให้บริการที่มีศูนย์ข้อมูลมากๆ เช่น กูเกิล, และยาฮู ออกมาประกาศว่าจะเข้ารหัสข้อมูลระหว่างศูนย์ข้อมูลของตัวเองกันก่อนหน้านี้ ตอนนี้มีข่าวไม่เป็นทางการว่าทางไมโครซอฟท์เองก็ตื่นตัวในเรื่องนี้ และเตรียมการกันแล้วเช่นกัน

ทาง The Washington Post อ้างแหล่งข่าวไม่เปิดเผยตัวตนว่าผู้บริหารระดับสูงของไมโครซอฟท์กำลังเข้าประชุมกันเพื่อกำหนดแนวทางการเข้ารหัส และกำหนดระยะเวลาว่าสามารถเข้ารหัสได้ภายในระยะเวลาเท่าใด

โครงการที่ดักฟังระหว่างศูนย์ข้อมูลของผู้ให้บริการของ NSA คือโครงการ MASCULAR แม้จะไม่มีการระบุในเอกสารโดยตรงว่ามีการดักฟังระหว่างศูนย์ข้อมูลของไมโครซอฟท์ แต่บริการของไมโครซอฟท์ก็เป็นเป้าหมายของการดักฟังของ NSA ผ่านการดักฟังจากผู้ใช้

ที่มา - Washington Post

Tags:

การรักษาความปลอดภัยขั้นสุดท้ายเป็นปัญหาสำคัญขององค์กรจำนวนมาก เช่น รหัส root ของเครื่องเซิร์ฟเวอร์หลักในระบบ รหัสผ่านเพื่อเข้าถึง private key บนสมาร์ตการ์ด การเก็บรักษาข้อมูลเหล่านี้ส่วนมากต้องอาศัยการพิมพ์ออกมาเป็นกระดาษแล้วนำไปเก็บรักษาไว้ที่ปลอดภัยเช่นตู้เซฟธนาคารที่ต้องการกุญแจสองดอกให้เปิดพร้อมกันจึงนำข้อมูลออกมาใช้งานได้ ตอนนี้ CloudFlare ผู้ให้บริการ reverse proxy รายใหญ่ก็นำโครงการภายในที่ชื่อว่า Red October เปิดซอร์สออกมาให้ใช้งานกัน

Red October คือเซิร์ฟเวอร์เข้ารหัสและถอดรหัส โดยไม่มีข้อมูลที่ต้องการเก็บรักษาอยู่บนเซิร์ฟเวอร์จริง ในตัวเซิร์ฟเวอร์ของ Red October นั้นจะเก็บกุญแจ RSA ของผู้ใช้ทุกคนเอาไว้ เมื่อมีการร้องขอให้เข้ารหัสข้อมูลใดๆ เซิร์ฟเวอร์จะ

  1. สร้างกุญแจสมมาตรโดยสุ่มเลขขึ้นมาใหม่
  2. เข้ารหัสข้อมูลด้วยกุญแจสมมาตรนั้น
  3. จับกลุ่มทุกกลุ่มที่เป็นไปได้ ตามที่ผู้ขอให้เข้ารหัสกำหนด เช่น กำหนดผู้ใช้ที่มีสิทธิถอดรหัส 3 คน โดยต้องใช้ 2 คนถอดรหัส จะจับได้ 3 กลุ่ม (3 เลือก 2)
  4. ใช้กุญแจสาธารณะของแต่ละคนในแต่ละกลุ่มเข้ารหัสกุญแจสมมาตรเป็นชั้นๆ จนครบจำนวนคนแล้วจัดเก็บ
Tags:

กระบวนการเข้ารหัสแบบสตรีมอย่าง RC4 ที่รับรู้กันว่าถูกประดิษฐ์ขึ้นมาโดย Ron Rivest หรือตัว R ใน RSA ตั้งแต่ปี 1987 ถูกอ้างว่ามีสิทธิบัตรที่เกิดขึ้นก่อนหน้า ในสิทธิบัตรหมายเลข US 5412730 A สิทธิบัตรนี้ถือครองโดยบริษัท TQP Development โดยตอนนี้มีบริษัทถูก TQP ยื่นฟ้องแล้ว 140 บริษัท แต่ Newegg ผู้ค้าปลีกไอทีรายใหญ่ไม่ยอมจ่ายค่าสิทธิบัตร และนำคดีนี้ขึ้นศาล

RC4 เป็นกระบวนการเข้ารหัสพื้นฐานที่ได้รับความนิยมสูง เพราะมีประสิทธิภาพที่ดี เว็บจำนวนมากใช้ RC4 เป็นกระบวนการเข้ารหัสลำดับแรกเพราะต้องการประหยัดทรัพยากร

คดีนี้มาถึงขั้นตอนของการขึ้นศาลพิจารณาคดี พยานฝั่ง Newegg ได้แก่ Ron Rivest, Ray Ozzie อดีตหัวหน้าฝ่ายเทคโนโลยีไมโครซอฟท์, Alan Eldridge วิศวกรที่ทำงานในโครงการ Lotus Notes

Tags:
Twitter

ภายใต้บรรยากาศความกลัว NSA ของทั้งโลก การปรับปรุงความปลอดภัยที่เคยมีความสำคัญลำดับ "รองๆ" ก็กลายเป็นวาระเร่งด่วนที่บริการหลักๆ ทั่วโลก เร่งปรับปรุง และตอนนี้สามผู้ให้บริการสำคัญคือ ทวิตเตอร์, กูเกิล, และเฟซบุ๊ก ต่างปรับปรุงกระบวนการเข้ารหัสเพิ่มเติม

กระบวนการที่สำคัญคือการ รองรับ "ความเป็นความลับในอนาคต" (forward secrecy) ในการเข้ารหัส โดยกระบวนการเข้ารหัสเว็บที่ใช้ TLS นั้นจะแบ่งออกเป็นสองส่วน ได้แก่การแลกกุญแจ (key exchange) และการเข้ารหัสแบบสมมาตร การแลกกุญแจที่ง่ายที่สุดคือการแลกด้วยการเข้ารหัสแบบไม่สมมาตร RSA แม้จะง่ายและประหยัดซีพียู แต่มีปัญหาคือหากกุญแจลับ RSA หลุดออกไป คนที่ดักฟังข้อมูลทั้งหมดก็จะสามารถนำกุญแจลับไปถอดรหัสข้อมูลกลับออกมาได้

การรองรับความเป็นความลับในอนาคต ใช้กระบวนการที่กุญแจสมมาตรไม่ได้ถูกเข้ารหัสแล้วส่งออกไปยังอีกฝ่ายโดยตรง แต่ใช้กระบวนการสร้างกุญแจขึ้นจากความลับทั้งสองฝ่าย เช่น กระบวนการ Diffie-Hellman (DHE) ปัญหาคือ DHE นั้นกินพลังประมวลผลสูง การเลือกใช้ Elliptic Curve Diffie-Hellman (ECDHE) มีประสิทธิภาพสูงกว่ามาก โดยใช้ทรัพยากรมากกว่า RSA เพียง 15%

Tags:
HP

[ดักที่บรรทัดแรก] ข่าวนี้ HP พูดถึง แอพที่อยู่บน iOS ไม่ใช่ตัวระบบปฏิบัติการ iOS นะครับ

Mike Armistead ผู้บริหารของ HP ออกมาให้ข้อมูลว่าบริษัทได้ทดสอบด้านความปลอดภัยของแอพบน iOS มากกว่า 2,000 ตัว มีที่มาจากบริษัทกว่า 600 แห่งใน 50 ประเทศ และพบว่าแอพส่วนใหญ่มีปัญหาด้านความปลอดภัย

  • 97% ของแอพที่สำรวจ มีการเข้าถึงข้อมูลส่วนบุคคลบนอุปกรณ์พกพา
  • 86% ของแอพที่สำรวจ มีช่องโหว่ด้านความปลอดภัย เช่น SQL injection
  • 86% ของแอพที่สำรวจ ไม่มีมาตรการป้องกันด้านความปลอดภัยพื้นฐาน เช่น HTTPS/SSL และไม่มีกระบวนการด้านความปลอดภัยระหว่างการพัฒนาแอพ

Armistead ระบุว่าแอปเปิลมีคำแนะนำในการเขียนแอพให้กับนักพัฒนาก็จริง แต่มันไม่ได้เน้นด้านความปลอดภัยมากนัก โดยสรุปแล้ว HP ก็ต้องการกระตุ้นให้นักพัฒนาแอพทั้งหลายเริ่มมองเห็นปัญหาด้านความปลอดภัยกันให้มากขึ้นนั่นเอง

ที่มา - Infoworld