ทราฟิกอินเทอร์เน็ตครึ่งปีแรก เข้ารหัสเพิ่มขึ้นทั่วโลก

By lew Founder on Tag: Security, SSL, HTTPS
Security

บริษัท Sandvine ผู้ผลิตระบบวิเคราะห์ทราฟิกเน็ตเวิร์คออกรายงานวิเคราะห์การใช้งานอินเทอร์เน็ตทั่วโลกของครึ่งปีแรกปี 2014 เมื่อเปรียบเทียบกับช่วงเดียวกันของปีที่แล้วพบว่าการใช้งานแอพพลิเคชั่นที่เข้ารหัสเพิ่มขึ้นอย่างรวดเร็วทั่วโลก ตัวอย่างเช่นภูมิภาคละตินอเมริกาจากปีที่แล้วที่มีการใช้งาน SSL เพียง 1.8% ของอินเทอร์เน็ตทั้งหมด ปีนี้เพิ่มเป็น 10.37%

upic.me

Read more

GNU ก็เฟล พบบั๊กร้ายแรงใน GnuTLS ทุกคนควรอัพเดตทันที

By lew Founder on Tag: Security, SSL, GNU
Security

รายงานบั๊กใหม่จากวิศวกรของ Red Hat พบว่าชุดเครื่องมือความปลอดภัย GnuTLS มีบั๊กในการจัดการกับความผิดพลาดของใบรับรอง SSL หากแฮกเกอร์สามารถสร้างใบรับรองได้อย่างถูกต้อง จะสามารถข้ามการตรวจสอบทั้งหมดได้ทันทีแม้จะไม่ได้รับรองจากหน่วยงานออกใบรับรองใดๆ

Read more

แอปเปิลออก OS X 10.9.2 อุดช่องโหว่บั๊ก SSL แล้ว

By mk Founder on Tag: Apple, Security, SSL, OS X, Mavericks
Apple

จากปัญหาช่องโหว่ SSL ของ iOS/OS X ที่ส่งผลกระทบในวงกว้าง (ข่าวเก่า 1, 2, 3) ล่าสุดแอปเปิลออก OS X Mavericks 10.9.2 ที่แก้ไขช่องโหว่นี้แล้ว

คนที่อัพเดตแล้วอยากทดสอบว่าช่องโหว่หายไปเพื่อความสบายใจ สามารถใช้ Safari เข้าไปทดสอบได้ที่ Apple SSL bug test site

Read more

Yahoo! Mail เปิดใช้ HTTPS ตลอดเวลาแล้ว

By mk Founder on Tag: Yahoo!, Security, SSL, E-mail, HTTPS
Yahoo!

Yahoo! Mail เป็นบริการอีเมลรายล่าสุดที่เปิดการเชื่อมต่อแบบเข้ารหัส HTTPS ตลอดเวลาในทุกกรณี ไม่ว่าจะเข้าผ่านเว็บ มือถือ แอพ POP3/IMAP/SMTP ก็จะเข้ารหัสแบบ 2048 บิตทั้งหมด

Yahoo! Mail เริ่มเปิดบริการ HTTPS เมื่อเดือนตุลาคมปีที่แล้ว และวันนี้ก็เปิดใช้เป็นค่าดีฟอลต์ตามที่สัญญาไว้

คู่แข่งอย่าง Gmail นั้นเปิดใช้ HTTPS เป็นค่าดีฟอลต์มาตั้งแต่ปี 2010

ที่มา - Yahoo! Tumblr

Read more

กูเกิลถูกปลอมใบรับรอง SSL โดยรัฐบาลฝรั่งเศส

By lew Founder on Tag: Google, Security, France, SSL
Google

กูเกิลประกาศว่าตรวจพบใบรับรอง SSL ที่ระบุถึงโดเมนของกูเกิลถูกรับรองจาก ANSSI หน่วยงานด้านความปลอดภัยคอมพิวเตอร์ของฝรั่งเศส ทำให้กูเกิลต้องเร่งอัพเดต Chrome เพื่อยกเลิกการยอมรับใบรับรองเหล่านั้นทั้งหมด

ทาง ANSSI ระบุว่าการปล่อยใบรับรองปลอมเหล่านี้ออกไปเป็น "ความผิดพลาดของผู้ใช้" (human error) ทำให้มีใบรับรองที่ไม่ได้อยู่ใต้รัฐบาลฝรั่งเศสถูกปล่อยออกไป

หากมีหน่วยงานใดได้รับใบรับรองและกุญแจส่วนลับของใบรับรองเหล่านี้ไปก็จะสามารถดักฟังข้อมูลเข้าออกโดเมนเหล่านี้ของกูเกิลได้ ด้วยการทำ man-in-the-middle

Read more

แอนดรอยด์ปรับ SSL ให้อ่อนแอลงตั้งแต่รุ่น 2.3 เป็นต้นมา

By lew Founder on Tag: Security, SSL, Android
Security

Georg Lukas นักพัฒนาโอเพนซอร์สรายหนึ่งสำรวจการทำงานของแอนดรอยด์แล้วพบพฤติกรรมที่แปลกของแอนดรอยด์คือการเลือกใช้กระบวนการเข้ารหัสแบบ RC4-MD5 ซึ่งค่อนข้างอ่อนแอ จึงได้สำรวจดูว่าพฤติกรรมเช่นนี้เป็นมานานเพียงใด และพบว่าแอนดรอยด์ถูกปรับให้ใช้การเข้ารหัสที่อ่อนแอลงตั้งแต่รุ่น 2.3.4 เป็นต้นมา

Read more

Yahoo! Mail เพิ่มตัวเลือกให้เชื่อมต่อแบบ HTTPS แล้ว

By mk Founder on Tag: Yahoo!, Security, SSL, E-mail, HTTPS
Yahoo!

Yahoo! Mail เป็นผู้ให้บริการอีเมลรายล่าสุดที่เปิดให้ใช้การเชื่อมต่อแบบ HTTPS เพื่อความปลอดภัยที่มากขึ้น โดยตอนนี้ยังเป็นตัวเลือกที่ต้องเข้าไปตั้งค่าเองในหน้า Advanced Settings

การเปลี่ยนแปลงนี้ถือว่าเป็นเรื่องดี แม้ว่าจะช้าไปนิดเพราะคู่แข่งอย่าง Gmail เปิด HTTPS เป็นค่าดีฟอลต์มาตั้งแต่ปี 2010 ส่วน Outlook.com ก็เปิดเป็นค่าดีฟอลต์แล้วเช่นกัน

ที่มา - Threatpost

Read more

Cryptanalysis ศาสตร์แห่งการถอดรหัส

By lew Founder on Tag: Security, In-Depth, SSL, Cryptography, HTTPS
Security

กระบวนการเข้ารหัสที่มีอยู่ในโลกมากมายและถูกพัฒนาอย่างต่อเนื่องจนทุกวันนี้ซับซ้อนในระดับที่ต้องการความรู้คณิตศาสตร์ระดับสูง เหตุผลสำคัญของการพัฒนาเหล่านี้คือการแข่งขันกับกระบวนการถอดรหัสที่พัฒนาอย่างต่อเนื่องเช่นเดียวกันศาสตร์ที่ว่าด้วยการถอดรหัสนี้เรียกว่า Cryptanalysis เป็นศาสตร์ที่อยู่คู่กับการเข้ารหัสมานาน เทคนิคและกระบวนการก็ซับซ้อนและใช้ในกรณีเฉพาะบางอย่างไปเรื่อยๆ

ในบทความนี้เราจะยกตัวอย่างบางเทคนิคที่ใช้กันในการถอดรหัส

Read more

นักวิจัยความปลอดภัยคาด RSA และ Diffie-Hellman จะไม่ปลอดภัยภายใน 5 ปี

By lew Founder on Tag: Security, SSL, Cryptography, HTTPS
Security

ทีมวิจัยความปลอดภัยจากบริษัท artemis นำเสนอความก้าวหน้าในวงการรหัสวิทยาในช่วงหลัง และคาดว่ากระบวนการแยกตัวประกอบตัวเลขขนาดใหญ่นั้นน่าจะมีการปรับปรุงประสิทธิภาพขึ้นอย่างมากภายในห้าปีข้างหน้า

Read more

[Black Hat] BREACH กระบวนการเจาะเว็บเข้ารหัสแบบใหม่, ป้องกันได้ยาก

By lew Founder on Tag: Security, Hacking, SSL, HTTPS, Black Hat
Security

นักวิจัยความปลอดภัยนำเสนอกระบวนการเจาะการเข้ารหัสเพื่อหาข้อความในเว็บที่เข้ารหัส HTTPS ได้ภายใน 30 วินาทีที่งาน Black Hat

BREACH อาศัยการดักฟังผู้ใช้ที่เข้าเว็บที่เข้ารหัสและบีบอัดข้อมูลแบบ DEFLATE ซึ่งเบราว์เซอร์รองรับเป็นมาตรฐาน และต้องบังคับให้ผู้ใช้เข้าเว็บที่มีสคริปต์ฝังอยู่ ซึ่งหากดักฟังแล้วก็ทำได้ง่ายเพราะใช้การโจมตีแบบ man-in-the-middle แทรกโค้ดเข้าไปยังเว็บอื่นๆ ที่ไม่ได้เข้ารหัสได้

Read more

กูเกิลเตรียมเปลี่ยนใบรับรอง SSL ไปเป็น 2048 บิตทั้งหมด

By lew Founder on Tag: Google, Security, SSL, Cryptography, HTTPS
Google

กูเกิลประกาศเปลี่ยนใบรับรอง SSL จาก 1024 บิตไปเป็นแบบ 2048 บิตทั้งหมดพร้อมกับเปลี่ยนสา่ยการรับรอง (certificate chain) ไปพร้อมกัน

กระบวนการนี้ไม่น่าจะกระทบผู้ใช้ นอกจากผู้ใช้ที่ใช้ไม่ได้อัพเดตระบบปฎิบัติการหรือใช้ไลบรารี SSL ของตัวเองรุ่นเก่า หรือซอฟต์แวร์ที่ฝังใบรับรองเข้ากับโค้ด ก็จะทำงานไม่ได้จากการอัพเดตครั้งนี้

แม้จะอัพเดตขนาดกุญแจไปเป็นขนาด 2048 บิต แต่ทุกวันนี้กระบวนการเข้ารหัสแบบกุญแจสมมาตรก็ยังใช้การเข้ารหัส RC4 แบบ 128 อยู่

Read more

Azure ลืมเปลี่ยน Certificate บริการที่ต้องใช้ HTTPS ทำงานไม่ได้

By lew Founder on Tag: SSL, HTTPS, Digital Certificate, Microsoft, Microsoft Azure
SSL

เมื่อวานนี้บริการ Azure ของไมโครซอฟท์เกิดหยุดทำงานไปหลายส่วน เนื่องจากใบรับรองดิจิตอล (digital certificate) ของบริการเหล่านี้หมดอายุลงเมื่อวันศุกร์ที่ผ่านมา

บริการที่หยุดจากสาเหตุนี้ได้แก่ Access Control 2.0, Media Encoding, Management Portal, Media On-Demand Streaming, Service Bus, Storage, Web Sites โดยทั้งหมดเกิดจากบริการ Storage ใช้งานไม่ได้ทำให้บริการที่เหลือหยุดทำงานไปโดยปริยาย

ปัญหานี้เกิดขึ้นพร้อมกันทั่วโลก และไมโครซอฟท์กำลังแก้ปัญหาอยู่

ที่มา - Windows Azure Service Dashboard

Read more

"Lucky Thirteen" ช่องทางแฮก TLS แบบใหม่ ตีพิมพ์งานวิจัยสู่สาธารณะแล้ว

By lew Founder on Tag: Security, SSL, TLS
Security

นักวิจัยตีพิมพ์งานวิจัยช่องโหว่ใหม่ของ TLS ในโหมด CBC (Cipher Block Chaining) ที่ตั้งชื่อว่า "Lucky Thirteen" ที่เป็นช่องโหว่ที่อาศัยผลข้างเคียง (side-channel) คือเวลาในการประมวลผลของแต่ละเซสชั่น โดยข้อมูลที่ถูกต้องจะใช้เวลาประมวลผลโดยเฉลี่ยต่ำกว่าข้อมูลที่ผิด

Read more

Chrome เข้ารหัสคำค้นหาใน Omnibox เป็นค่าดีฟอลต์แล้ว

By mk Founder on Tag: Google, Browser, Search Engine, SSL, Chrome, HTTPS
Google

ทุกวันนี้ Chrome เข้ารหัสคำค้นหาที่เราพิมพ์ในกล่อง Omnibox ด้วย SSL ก่อนส่งไปยังเซิร์ฟเวอร์ของกูเกิลเพื่อความปลอดภัยและความเป็นส่วนตัว แต่ Chrome จะทำแบบนี้ก็ต่อเมื่อผู้ใช้ล็อกอินด้วย Google Account ที่ตัวเบราว์เซอร์เท่านั้น

แต่ใน Chrome 25 (ปัจจุบันยังมีสถานะเป็น Beta) เปลี่ยนค่าตรงนี้แล้ว โดยผู้ใช้ Chrome ทุกรายไม่ว่าจะล็อกอินหรือไม่ จะถูกเข้ารหัสเวลาค้นหาผ่าน Omnibox เสมอ

Chrome ไม่ใช่เบราว์เซอร์ตัวแรกที่ใช้นโยบายนี้ โดย Firefox เป็นเบราว์เซอร์ตัวแรกที่เริ่ม ตามด้วย Safari เป็นรายที่สอง

Read more

เกิดอะไรขึ้นกับ DigiNotar รายงานสำรวจแถลงบอกรายละเอียดการแฮก

By lew Founder on Tag: Security, SSL, DigiNotar
Security

ปัญหาการทำใบรับรองปลอมจาก DigiNotar สร้างความกังวลทั่วโลกว่าระบบใบรับรองทุกวันนี้มีความน่าเชื่อถือเพียงใด รายงานการสำรวจความเสียหายโดยบริษัท Fox IT เพื่อส่งให้กับกระทรวงมหาดไทยของเนเธอร์แลนด์ได้รายงานถึงกระบวนการที่แฮกเกอร์เข้ามาสร้างใบรับรองปลอมจำนวน 531 ใบ

เครือข่ายของ DigiNotar ภายในแบ่งออกเป็น 24 ส่วน เซิร์ฟเวอร์สำหรับสร้างใบรับรองที่ติดตั้งสมาร์ตการ์ดที่ใช้รับรองนั้นตั้งอยู่ในห้องรักษาความปลอดภัยสูงแยกออกไป

Read more

งานวิจัยเผย SSL มีความเสี่ยงต่อการแฮกเมื่อไม่ได้ใช้งานผ่านเว็บเบราว์เซอร์

By EThaiZone Contributor on Tag: Security, Research, SSL, CCS2012
Security

คงไม่มีใครปฏิเสธได้ครับว่า SSL คือเทคโนโลยีหนึ่งที่สำคัญมากแบบขาดเสียไม่ได้ ทั้งในด้านธุรกรรมการเงิน การส่งต่อข้อมูลความลับต่างๆ ซึ่งเหตุผลหลักคือเพื่อป้องกันการโจมตีจากเหล่าบรรดาแฮกเกอร์ แต่เมื่อไม่นานมานี้ได้มีการเปิดเผยว่า SSL เมื่อถูกใช้งานในบางสถานการณ์นั้นอาจไม่ปลอดภัยอย่างที่เคยคิดกัน

Read more

W3C เผยร่างของ Web Cryptography API สำหรับเบราว์เซอร์

By pe3z Writer on Tag: Security, JavaScript, SSL, W3C, Cryptography
Security

W3C เผยร่างของ Web Cryptography API โดยเป็น JavaScript API ที่ทำหน้าที่เป็นฟีเจอร์ในการเข้ารหัสและถอดรหัสข้อมูล ตัวอย่างการนำมาใช้งานเช่นการพิสูจน์ตัวตนของผู้ใช้งานผ่านทางเว็บแอพพลิเคชั่น โดยมันจะสร้างวิธีการที่ปลอดภัยยิ่งขึ้นระหว่างเบราว์เซอร์และเซิร์ฟเวอร์

อีกหนึ่งความสามารถของ API ตัวนี้คือมันสามารถนำมาประยุกต์ใช้ในการจัดการสิทธิ์ในการอ่านและเขียนข้อมูลที่ถูกเข้ารหัสบน cloud ได้และมันยังยอมรับมาตรฐานอื่นๆ ในการเข้ารหัสเพื่อใช้ในการส่งข้อมูลระหว่างเบราว์เซอร์และเซิร์ฟเวอร์นอกเหนือจาก SSL/TLS อีกด้วย

Read more

HTTPS แบบบีบอัดข้อมูลถูกโจมตีสำเร็จ กูเกิลปิดการบีบอัดใน Chrome แล้ว

By lew Founder on Tag: Security, Browser, SSL, SPDY, HTTPS
Security

นักวิจัยด้านความปลอดภัยสองคน คือ Juliano Rizzo และ Thai Duong กำลังเตรียมนำเสนองานวิจัยด้านความปลอดภัยของ TLS ด้วยกระบวนการที่เรียกว่า CRIME ในงาน ekoparty วันที่ 21 ที่จะถึงนี้ แต่ระหว่างนี้ก็เริ่มมีการตรวจสอบว่าบั๊กความปลอดภัยนี้ได้รับการแก้ไขในเบราว์เซอร์ใดไปแล้ว และมีการรายงานออกมาว่ามันทำงานอย่างไร

Read more

อุปกรณ์สแกน HTTPS ทำพลาด, ใส่ CA เดียวกันทุกเครื่อง

By lew Founder on Tag: Security, SSL, HTTPS
Security

บริษัท Cyberoam เป็นบริษัททำเครื่องตรวจสอบการใช้งานอินเทอร์เน็ตของพนักงานในบริษัท กระบวนการคือการบังคับให้พนักงานต้องติดตั้งใบรับรองหลัก (root CA) จากเครื่องของ Cyberoam ทำให้เครื่องนี้สามารถเข้าไปตรวจสอบการใช้งานได้ เพราะถอดรหัสที่เครื่องก่อนจะเข้ารหัสใหม่แล้วส่งไปยังตัวเว็บจริง แต่รายงานปรากฎว่า Cyberoam กลับใช้ CA ใบเดียวกันในทุกเครื่องที่ขายออกไป ทำให้ลูกค้าของ Cyberoam สามารถใช้ใบรับรองนี้ไปตรวจสอบการใช้งานเว็บในบริษัทอื่นๆ ได้ด้วย

Read more

Firefox จะบังคับใช้ HTTPS สำหรับ Google Search ในเร็วๆ นี้

By mk Founder on Tag: Google, Privacy, Firefox, Search Engine, SSL, HTTPS
Google

Johnathan Nightingale ผู้บริหารระดับสูงของ Mozilla ให้ข้อมูลทางอีเมลกับ InfoWorld ว่าจะเริ่มทดสอบการเข้ารหัส SSL/HTTPS สำหรับการค้นกูเกิลจากช่องค้นหาของ Firefox Nightly ในเร็วๆ นี้

ถ้าทาง Mozilla ไม่พบปัญหาอะไร ฟีเจอร์นี้จะถูกผนวกเข้ามาใน Aurora และ Beta ตามมา ก่อนจะเข้ามายัง Firefox รุ่นหลัก โดยเริ่มจากภาษาอังกฤษก่อน

เหตุผลของ Mozilla คือประเด็นด้านความปลอดภัยและความเป็นส่วนตัวของผู้ใช้ ซึ่งจริงๆ แล้วทาง Mozilla อยากเปิดฟีเจอร์นี้มานานแล้ว แต่ในช่วงแรก กูเกิลยังไม่พร้อมรับทราฟฟิก HTTPS จากผู้ใช้ Firefox

Read more
Subscribe to SSL