Tags:
Node Thumbnail

ส่วนประกอบของใบรับรอง SSL มีสองส่วนสำคัญได้แก่ กุญแจสาธารณะ และลายเซ็นดิจิตอล โดยลายเซ็นดิจิตอลที่ได้รับความนิยมกันมากคือการใช้ค่าแฮช SHA-1 มาเข้ารหัสด้วยกุญแจ RSA ของหน่วยงานที่รับรองใบรับรองนั้นๆ ที่ผ่านมา SHA-1 เริ่มมีงานวิจัยแสดงว่ามันอ่อนแอกว่าที่ออกแบบไว้ ตอนนี้ทางกูเกิลประกาศแล้วว่าจะเริ่มถือว่าใบรับรองที่ใช้ SHA-1 ไม่ปลอดภัยตั้งแต่ปี 2015 เป็นต้นไป

กูเกิลระบุแผนบันไดสามขั้นเพื่อกดดันให้เว็บที่เข้ารหัสเปลี่ยนใบรับรองเป็นใบรับรองใหม่ที่ใช้ลายเซ็นดิจิตอลที่หนาแน่นกว่าเดิม

Tags:

ข่าว NSA ที่ Blognone นำเสนอมาตลอดสร้างปรากฎการณ์ไปทั่วโลกคือเว็บที่เคยถูกมองว่าไม่เสี่ยงต่อการถูกดักฟังนักเริ่มหันมาเข้ารหัสกันมากขึ้นเรื่อยๆ ทุกวันนี้เว็บที่เคยเป็นเว็บเนื้อหา เช่น วิกิพีเดีย, กูเกิล เริ่มเข้ารหัสจนกระทั่งทราฟิกที่เข้ารหัสด้วย SSL เพิ่มขึ้นอย่างรวดเร็วทั่วโลก

ผมเองเริ่มโครงการ HTTPS กับ Blognone มาแล้วระยะหนึ่งและเพิ่งบังคับทั้งหมดเมื่อต้นปีที่ผ่านมา ล่าสุดผมเข้าเว็บไทยเองและพบว่ารองรับ HTTPS เป็นอย่างดีจนน่าแปลกใจ เช่น เว็บไทยรัฐ, เว็บธนาคารทหารไทย ส่วนเว็บข้อมูลซึ่งธนาคารอื่นมักไม่เข้ารหัส

Tags:
Node Thumbnail

บริษัทความปลอดภัย FireEye วิเคราะห์แอพยอดนิยม 1,000 ตัวแรกบน Google Play และพบว่าแอพประมาณ 68% มีปัญหาช่องโหว่ SSL บางประการ โดยปัญหาที่พบมี 3 รูปแบบใหญ่ๆ คือ

Tags:
Node Thumbnail

กูเกิลประกาศไลบรารีที่แยกจาก OpenSSL เป็น BoringSSL มาตั้งแต่กลางปี และพยายามนำมาใช้งานกับ Chrome เป็นโครงการแรกที่ใช้งานนอกกูเกิล จนตอนนี้แพตช์ล่าสุดก็เป็นครั้งที่สามแล้วที่กูเกิลเตรียมจะเปลี่ยนมาใช้ BoringSSL

กระบวนการเปลี่ยนไลบรารี SSL เป็นกระบวนการที่ซับซ้อน มีโครงการภายในที่ได้รับผลกระทบเป็นจำนวนมาก การแพตช์สองรอบก่อนหน้านี้ล้มเหลวเพราะกระทบกับ WebRTC และ WebView

การแพตช์ครั้งล่าสุดมีคอมเมนต์แนบท้ายว่าหากมีใครได้รับผลกระทบให้ถอนแพตช์นี้ออกได้เลยแล้วค่อยคุยกันทีหลัง

Tags:
Node Thumbnail

กูเกิลประกาศเตือนว่าเมื่อสัปดาห์ที่ผ่านมา มีใบรับรองจาก National Informatics Centre (NIC) หน่วยงานของรัฐบาลอินเดียออกใบรับรองในโดเมนของกูเกิลมาหลายฉบับ

ใบรับรองของ NIC ได้รับการรับรองโดย India CCA อีกทีหนึ่ง ตัว India CCA นั้นอยู่ในรายชื่อของ root CA ที่ไมโครซอฟท์ยอมรับ ทำให้ใบรับรองโดเมนของกูเกิลที่ออกโดย NIC ใช้งานได้ใน Internet Explorer และ Chrome ขณะที่ไฟร์ฟอกซ์ใช้ API ของตัวเอง ส่วน Chrome นั้นล็อกใบรับรองของตัวเอง (public-key pinning) ไว้ในหลายโดเมนทำให้ไม่ได้รับผลกระทบจากปัญหานี้ ส่วนระบบปฎิบัติการอื่นๆ ไม่ได้รับผลกระทบแต่อย่างใด

Tags:
Node Thumbnail

หลังจากปัญหา Heartbleed ใน OpenSSL สร้างความเสียหายเป็นวงกว้าง ตอนนี้กูเกิลก็เปิดโครงการ BoringSSL ของตัวเองออกสู่สาธารณะแล้ว

ก่อนหน้านี้กูเกิลมีแพตซ์ของ OpenSSL ของตัวเองมาเสมอ แต่อาศัยการดึงโค้ดจาก OpenSSL มาแพตซ์เป็นครั้งๆ ไป จนตอนนี้มีแพตซ์ของกูเกิลเองมากกว่า 70 ชุดที่ต้องรวมเข้ากับโครงการ OpenSSL ทุกครั้งที่มีเวอร์ชั่นใหม่ ตอนนี้กูเกิลตัดสินใจที่จะแยกโครงการออกมาเป็นของตัวเองเพื่อความสะดวกในการจัดการ

Tags:
Node Thumbnail

บริษัท Sandvine ผู้ผลิตระบบวิเคราะห์ทราฟิกเน็ตเวิร์คออกรายงานวิเคราะห์การใช้งานอินเทอร์เน็ตทั่วโลกของครึ่งปีแรกปี 2014 เมื่อเปรียบเทียบกับช่วงเดียวกันของปีที่แล้วพบว่าการใช้งานแอพพลิเคชั่นที่เข้ารหัสเพิ่มขึ้นอย่างรวดเร็วทั่วโลก ตัวอย่างเช่นภูมิภาคละตินอเมริกาจากปีที่แล้วที่มีการใช้งาน SSL เพียง 1.8% ของอินเทอร์เน็ตทั้งหมด ปีนี้เพิ่มเป็น 10.37%

alt="upic.me"

Tags:
Node Thumbnail

รายงานบั๊กใหม่จากวิศวกรของ Red Hat พบว่าชุดเครื่องมือความปลอดภัย GnuTLS มีบั๊กในการจัดการกับความผิดพลาดของใบรับรอง SSL หากแฮกเกอร์สามารถสร้างใบรับรองได้อย่างถูกต้อง จะสามารถข้ามการตรวจสอบทั้งหมดได้ทันทีแม้จะไม่ได้รับรองจากหน่วยงานออกใบรับรองใดๆ

ที่เลวร้ายคือบั๊กนี้อาจจะมีมาตั้งแต่ปี 2005 นานกว่าบั๊ก goto fail; ของแอปเปิลมาก ที่สำคัญคือมีซอฟต์แวร์อาศัยโค้ดของ GnuTLS ในการตรวจสอบใบรับรอง SSL มากมาย นับแต่ curl ที่ Debian และ Ubuntu มีตัวเลือกใช้ GnuTLS แทน OpenSSL ใน libcurl3-gnutls ไปจนถึงระบบ VPN ของซิสโก้ที่ใช้งานไลบรารีนี้เช่นกัน

Tags:
Node Thumbnail

ได้รับการแจ้งเตือนจากเครื่อง iPhone 3GS ของตนเองว่ามีการอัพเดท iOS 6.1.6 เพื่อแก้ไขปัญหา SSL ที่มา : iPhone 3GS ของตนเอง

Tags:
Node Thumbnail

จากปัญหาช่องโหว่ SSL ของ iOS/OS X ที่ส่งผลกระทบในวงกว้าง (ข่าวเก่า 1, 2, 3) ล่าสุดแอปเปิลออก OS X Mavericks 10.9.2 ที่แก้ไขช่องโหว่นี้แล้ว

คนที่อัพเดตแล้วอยากทดสอบว่าช่องโหว่หายไปเพื่อความสบายใจ สามารถใช้ Safari เข้าไปทดสอบได้ที่ Apple SSL bug test site

OS X 10.9.2 ยังเพิ่มฟีเจอร์ด้านอื่นๆ ที่เกี่ยวข้องกับ FaceTime (โทรด้วยเสียง) และ iMessages (บล็อค SMS) มาอีกเล็กน้อย และปรับปรุงเสถียรภาพของแอพบน OS X ของแอปเปิลเองอีกหลายจุด รายการเปลี่ยนแปลงฉบับเต็มอ่านได้ตามลิงก์ที่มา

Tags:
Node Thumbnail

Yahoo! Mail เป็นบริการอีเมลรายล่าสุดที่เปิดการเชื่อมต่อแบบเข้ารหัส HTTPS ตลอดเวลาในทุกกรณี ไม่ว่าจะเข้าผ่านเว็บ มือถือ แอพ POP3/IMAP/SMTP ก็จะเข้ารหัสแบบ 2048 บิตทั้งหมด

Yahoo! Mail เริ่มเปิดบริการ HTTPS เมื่อเดือนตุลาคมปีที่แล้ว และวันนี้ก็เปิดใช้เป็นค่าดีฟอลต์ตามที่สัญญาไว้

คู่แข่งอย่าง Gmail นั้นเปิดใช้ HTTPS เป็นค่าดีฟอลต์มาตั้งแต่ปี 2010

ที่มา - Yahoo! Tumblr

Tags:
Node Thumbnail

กูเกิลประกาศว่าตรวจพบใบรับรอง SSL ที่ระบุถึงโดเมนของกูเกิลถูกรับรองจาก ANSSI หน่วยงานด้านความปลอดภัยคอมพิวเตอร์ของฝรั่งเศส ทำให้กูเกิลต้องเร่งอัพเดต Chrome เพื่อยกเลิกการยอมรับใบรับรองเหล่านั้นทั้งหมด

ทาง ANSSI ระบุว่าการปล่อยใบรับรองปลอมเหล่านี้ออกไปเป็น "ความผิดพลาดของผู้ใช้" (human error) ทำให้มีใบรับรองที่ไม่ได้อยู่ใต้รัฐบาลฝรั่งเศสถูกปล่อยออกไป

หากมีหน่วยงานใดได้รับใบรับรองและกุญแจส่วนลับของใบรับรองเหล่านี้ไปก็จะสามารถดักฟังข้อมูลเข้าออกโดเมนเหล่านี้ของกูเกิลได้ ด้วยการทำ man-in-the-middle

Tags:
Node Thumbnail

Georg Lukas นักพัฒนาโอเพนซอร์สรายหนึ่งสำรวจการทำงานของแอนดรอยด์แล้วพบพฤติกรรมที่แปลกของแอนดรอยด์คือการเลือกใช้กระบวนการเข้ารหัสแบบ RC4-MD5 ซึ่งค่อนข้างอ่อนแอ จึงได้สำรวจดูว่าพฤติกรรมเช่นนี้เป็นมานานเพียงใด และพบว่าแอนดรอยด์ถูกปรับให้ใช้การเข้ารหัสที่อ่อนแอลงตั้งแต่รุ่น 2.3.4 เป็นต้นมา

Tags:
Node Thumbnail

Yahoo! Mail เป็นผู้ให้บริการอีเมลรายล่าสุดที่เปิดให้ใช้การเชื่อมต่อแบบ HTTPS เพื่อความปลอดภัยที่มากขึ้น โดยตอนนี้ยังเป็นตัวเลือกที่ต้องเข้าไปตั้งค่าเองในหน้า Advanced Settings

การเปลี่ยนแปลงนี้ถือว่าเป็นเรื่องดี แม้ว่าจะช้าไปนิดเพราะคู่แข่งอย่าง Gmail เปิด HTTPS เป็นค่าดีฟอลต์มาตั้งแต่ปี 2010 ส่วน Outlook.com ก็เปิดเป็นค่าดีฟอลต์แล้วเช่นกัน

ที่มา - Threatpost

Tags:
Node Thumbnail

กระบวนการเข้ารหัสที่มีอยู่ในโลกมากมายและถูกพัฒนาอย่างต่อเนื่องจนทุกวันนี้ซับซ้อนในระดับที่ต้องการความรู้คณิตศาสตร์ระดับสูง เหตุผลสำคัญของการพัฒนาเหล่านี้คือการแข่งขันกับกระบวนการถอดรหัสที่พัฒนาอย่างต่อเนื่องเช่นเดียวกันศาสตร์ที่ว่าด้วยการถอดรหัสนี้เรียกว่า Cryptanalysis เป็นศาสตร์ที่อยู่คู่กับการเข้ารหัสมานาน เทคนิคและกระบวนการก็ซับซ้อนและใช้ในกรณีเฉพาะบางอย่างไปเรื่อยๆ

ในบทความนี้เราจะยกตัวอย่างบางเทคนิคที่ใช้กันในการถอดรหัส

ความถี่ของข้อมูล (Frequency Counting)

No Description

Tags:
Node Thumbnail

ทีมวิจัยความปลอดภัยจากบริษัท artemis นำเสนอความก้าวหน้าในวงการรหัสวิทยาในช่วงหลัง และคาดว่ากระบวนการแยกตัวประกอบตัวเลขขนาดใหญ่นั้นน่าจะมีการปรับปรุงประสิทธิภาพขึ้นอย่างมากภายในห้าปีข้างหน้า

กระบวนการแยกตัวประกอบเป็นกระบวนการสำคัญในการเข้ารหัสแบบกุญแจไม่สมมาตร RSA และการแลกเปลี่ยนกุญแจ (key exchange) แบบ Diffie Hellman โดย RSA นั้นประกาศ "ผลคูณ" ของเลขจำนวนเฉพาะสองจำนวนเป็นกุญแจสาธารณะ โดยเชื่อว่าการแยกตัวประกอบนั้นทำได้ยาก โดยยังไม่มีการพิสูจน์ว่าการแยกตัวประกอบนั้นเป็นงาน "ยาก" ในทางคณิตศาสตร์ จริงหรือไม่ และความเชื่อใจใน RSA ทุกวันนี้ก็มาจากความเชื่อว่ากระบวนการที่มีประสิทธิภาพนั้นยังไม่ถูกค้นพบ

Tags:
Node Thumbnail

นักวิจัยความปลอดภัยนำเสนอกระบวนการเจาะการเข้ารหัสเพื่อหาข้อความในเว็บที่เข้ารหัส HTTPS ได้ภายใน 30 วินาทีที่งาน Black Hat

BREACH อาศัยการดักฟังผู้ใช้ที่เข้าเว็บที่เข้ารหัสและบีบอัดข้อมูลแบบ DEFLATE ซึ่งเบราว์เซอร์รองรับเป็นมาตรฐาน และต้องบังคับให้ผู้ใช้เข้าเว็บที่มีสคริปต์ฝังอยู่ ซึ่งหากดักฟังแล้วก็ทำได้ง่ายเพราะใช้การโจมตีแบบ man-in-the-middle แทรกโค้ดเข้าไปยังเว็บอื่นๆ ที่ไม่ได้เข้ารหัสได้

หลังจากที่ฝังสคริปต์ได้แล้ว สคริปต์จะเรียกหน้าข้อความโดยพยายามให้มีเนื้อความเป็นข้อความที่กำหนดได้ เช่นสั่งเรียกหน้า reply โดยกำหนดอีเมลลงไป หลังจากนั้นจึงดูขนาดของเนื้อหาที่ส่งกลับมาว่ามีขนาดเท่าใด

Tags:
Node Thumbnail

กูเกิลประกาศเปลี่ยนใบรับรอง SSL จาก 1024 บิตไปเป็นแบบ 2048 บิตทั้งหมดพร้อมกับเปลี่ยนสา่ยการรับรอง (certificate chain) ไปพร้อมกัน

กระบวนการนี้ไม่น่าจะกระทบผู้ใช้ นอกจากผู้ใช้ที่ใช้ไม่ได้อัพเดตระบบปฎิบัติการหรือใช้ไลบรารี SSL ของตัวเองรุ่นเก่า หรือซอฟต์แวร์ที่ฝังใบรับรองเข้ากับโค้ด ก็จะทำงานไม่ได้จากการอัพเดตครั้งนี้

แม้จะอัพเดตขนาดกุญแจไปเป็นขนาด 2048 บิต แต่ทุกวันนี้กระบวนการเข้ารหัสแบบกุญแจสมมาตรก็ยังใช้การเข้ารหัส RC4 แบบ 128 อยู่

กูเกิลเปิดเว็บ cert-test ให้ทุกคนเข้าทดสอบใบรับรองใหม่ได้แล้ว ส่วนกระบวนการอัพเดตจริงจะค่อยๆ อัพเดตไปทีละบริการจนครบในอีกหลายเดือนข้างหน้า

Tags:
Node Thumbnail

เมื่อวานนี้บริการ Azure ของไมโครซอฟท์เกิดหยุดทำงานไปหลายส่วน เนื่องจากใบรับรองดิจิตอล (digital certificate) ของบริการเหล่านี้หมดอายุลงเมื่อวันศุกร์ที่ผ่านมา

บริการที่หยุดจากสาเหตุนี้ได้แก่ Access Control 2.0, Media Encoding, Management Portal, Media On-Demand Streaming, Service Bus, Storage, Web Sites โดยทั้งหมดเกิดจากบริการ Storage ใช้งานไม่ได้ทำให้บริการที่เหลือหยุดทำงานไปโดยปริยาย

ปัญหานี้เกิดขึ้นพร้อมกันทั่วโลก และไมโครซอฟท์กำลังแก้ปัญหาอยู่

ที่มา - Windows Azure Service Dashboard

Tags:
Node Thumbnail

นักวิจัยตีพิมพ์งานวิจัยช่องโหว่ใหม่ของ TLS ในโหมด CBC (Cipher Block Chaining) ที่ตั้งชื่อว่า "Lucky Thirteen" ที่เป็นช่องโหว่ที่อาศัยผลข้างเคียง (side-channel) คือเวลาในการประมวลผลของแต่ละเซสชั่น โดยข้อมูลที่ถูกต้องจะใช้เวลาประมวลผลโดยเฉลี่ยต่ำกว่าข้อมูลที่ผิด

Tags:
Node Thumbnail

ทุกวันนี้ Chrome เข้ารหัสคำค้นหาที่เราพิมพ์ในกล่อง Omnibox ด้วย SSL ก่อนส่งไปยังเซิร์ฟเวอร์ของกูเกิลเพื่อความปลอดภัยและความเป็นส่วนตัว แต่ Chrome จะทำแบบนี้ก็ต่อเมื่อผู้ใช้ล็อกอินด้วย Google Account ที่ตัวเบราว์เซอร์เท่านั้น

แต่ใน Chrome 25 (ปัจจุบันยังมีสถานะเป็น Beta) เปลี่ยนค่าตรงนี้แล้ว โดยผู้ใช้ Chrome ทุกรายไม่ว่าจะล็อกอินหรือไม่ จะถูกเข้ารหัสเวลาค้นหาผ่าน Omnibox เสมอ

Chrome ไม่ใช่เบราว์เซอร์ตัวแรกที่ใช้นโยบายนี้ โดย Firefox เป็นเบราว์เซอร์ตัวแรกที่เริ่ม ตามด้วย Safari เป็นรายที่สอง

ผู้ใช้คงไม่รู้สึกถึงความเปลี่ยนแปลงนี้ แต่การปรับนโยบายครั้งนี้ช่วยแก้ปัญหาเรื่องความปลอดภัยและความเป็นส่วนตัวได้อีกระดับ

Tags:
Node Thumbnail

ปัญหาการทำใบรับรองปลอมจาก DigiNotar สร้างความกังวลทั่วโลกว่าระบบใบรับรองทุกวันนี้มีความน่าเชื่อถือเพียงใด รายงานการสำรวจความเสียหายโดยบริษัท Fox IT เพื่อส่งให้กับกระทรวงมหาดไทยของเนเธอร์แลนด์ได้รายงานถึงกระบวนการที่แฮกเกอร์เข้ามาสร้างใบรับรองปลอมจำนวน 531 ใบ

เครือข่ายของ DigiNotar ภายในแบ่งออกเป็น 24 ส่วน เซิร์ฟเวอร์สำหรับสร้างใบรับรองที่ติดตั้งสมาร์ตการ์ดที่ใช้รับรองนั้นตั้งอยู่ในห้องรักษาความปลอดภัยสูงแยกออกไป

Tags:
Node Thumbnail

คงไม่มีใครปฏิเสธได้ครับว่า SSL คือเทคโนโลยีหนึ่งที่สำคัญมากแบบขาดเสียไม่ได้ ทั้งในด้านธุรกรรมการเงิน การส่งต่อข้อมูลความลับต่างๆ ซึ่งเหตุผลหลักคือเพื่อป้องกันการโจมตีจากเหล่าบรรดาแฮกเกอร์ แต่เมื่อไม่นานมานี้ได้มีการเปิดเผยว่า SSL เมื่อถูกใช้งานในบางสถานการณ์นั้นอาจไม่ปลอดภัยอย่างที่เคยคิดกัน

Tags:
Node Thumbnail

W3C เผยร่างของ Web Cryptography API โดยเป็น JavaScript API ที่ทำหน้าที่เป็นฟีเจอร์ในการเข้ารหัสและถอดรหัสข้อมูล ตัวอย่างการนำมาใช้งานเช่นการพิสูจน์ตัวตนของผู้ใช้งานผ่านทางเว็บแอพพลิเคชั่น โดยมันจะสร้างวิธีการที่ปลอดภัยยิ่งขึ้นระหว่างเบราว์เซอร์และเซิร์ฟเวอร์

อีกหนึ่งความสามารถของ API ตัวนี้คือมันสามารถนำมาประยุกต์ใช้ในการจัดการสิทธิ์ในการอ่านและเขียนข้อมูลที่ถูกเข้ารหัสบน cloud ได้และมันยังยอมรับมาตรฐานอื่นๆ ในการเข้ารหัสเพื่อใช้ในการส่งข้อมูลระหว่างเบราว์เซอร์และเซิร์ฟเวอร์นอกเหนือจาก SSL/TLS อีกด้วย

Tags:
Node Thumbnail

นักวิจัยด้านความปลอดภัยสองคน คือ Juliano Rizzo และ Thai Duong กำลังเตรียมนำเสนองานวิจัยด้านความปลอดภัยของ TLS ด้วยกระบวนการที่เรียกว่า CRIME ในงาน ekoparty วันที่ 21 ที่จะถึงนี้ แต่ระหว่างนี้ก็เริ่มมีการตรวจสอบว่าบั๊กความปลอดภัยนี้ได้รับการแก้ไขในเบราว์เซอร์ใดไปแล้ว และมีการรายงานออกมาว่ามันทำงานอย่างไร

Pages