Tags:
Netflix

หลังประกาศได้เพียงอาทิตย์เดียว Netflix ก็เริ่มบล็อคผู้ใช้ที่ใช้บริการ proxy หรือ VPN มุดไปยังประเทศอื่นๆ อย่างเช่นสหรัฐฯ เพื่อดูคอนเทนท์ที่จำกัดการฉายเฉพาะบางประเทศแล้ว

อย่างไรก็ตาม เบื้องต้นมีเพียงผู้ใช้บางรายในออสเตรเลียเท่านั้น ที่ Netflix แจ้งเตือนและขอให้ผู้ใช้ปิดบริการ proxy หรือ VPN ซึ่งคาดว่าอีกไม่นาน Netflix น่าจะเริ่มบังคับใช้มาตรการนี้อย่างแพร่หลายมากขึ้น

ที่มา - Engadget

Tags:
Netflix

ให้หลังการเปิดให้บริการทั่วโลก 130 ประเทศของ Netflix ก็เริ่มมีความเปลี่ยนแปลงที่กระทบกับผู้ชมออกมาจนได้ โดยในวันนี้ทาง Netflix ได้ประกาศว่าจะเพิ่มมาตรการเพื่อป้องกันไม่ให้ผู้ใช้เข้าถึงคอนเทนต์ที่อยู่นอกประเทศของตัวเองได้แล้ว

ก่อนหน้าที่ Netflix จะขยายบริการไปทั่วโลก คนที่อยากเข้าไปใช้งานต้องเล่นท่ายากอย่างการใช้ proxy หรือ VPN ไปยังประเทศที่ Netflix รองรับเสียก่อนจึงจะสามารถใช้งานได้ ให้หลังการเปิดให้บริการทั่วโลก การใช้งานเครื่องมือดังกล่าวแม้ยังคงมีประโยชน์กับผู้ใช้เนื่องจากช่วยปลดล็อกคอนเทนต์บางอย่างที่ยังไม่ฉายทั่วโลก หรือคอนเทนต์เฉพาะประเทศ โดยเฉพาะในสหรัฐฯ และญี่ปุ่น ซึ่งดูเหมือนว่าทาง Netflix จะไม่ค่อยพอใจกับวิธีนี้นักจนออกมาเป็นมาตรการในครั้งนี้

หลังประกาศนี้ออกมา ผู้ใช้ที่ใช้งานบริการดังกล่าวอยู่น่าจะไม่พอใจที่ต้องจ่ายค่าบริการเท่ากันแต่ได้ดูน้อยกว่า และให้ความเห็นว่ามาตรการนี้ควรออกมาหลังจากที่ Netflix เปิดให้ผู้ใช้ทั่วโลกเข้าถึงคอนเทนต์ได้อย่างเท่าเทียมเสียก่อน

ที่มา - TechCrunch

Tags:
Juniper

ช่องโหว่ใน ScreenOS จากโค้ดที่ไม่ได้รับอนุญาตรายงานออกมาโดยทาง Juniper เอง กลายเป็นประเด็นต่อเนื่องเมื่อนักวิจัยระบุว่าช่องโหว่ถอดรหัส VPN นั้นอาจจะเป็นช่องโหว่ที่ถูกวางไว้อย่างจงใจตั้งแต่แรก เพราะช่องโหว่ที่ Juniper แก้ไขนั้นเป็นเพียงการแก้ค่าคงที่ที่ถูกเปลี่ยนไปเท่านั้น

ทาง Juniper โดย Bob Worrall ออกมายืนยันว่ากระบวนการเข้ารหัสที่ใช้งานอยู่ตอนนี้มีความแข็งแกร่ง แต่ขณะเดียวกันก็ตอบรับคำวิจารณ์จากนักวิจัย และประกาศว่าจะอัพเดต ScreenOS ให้ไปใช้กระบวนการเข้ารหัสอื่นที่เทียบเท่ากับที่ใช้งานอยู่ใน Junos OS ซึ่งเป็นระบบปฎิบัติการหลักของ Juniper แทนที่ Dual_EC ที่เคยถูกโจมตีมานานว่าเป็นกระบวนการสร้างเลขสุ่มที่ถูกวางช่องโหว่โดย NSA เอาไว้

ส่วนประเด็นที่มาของโค้ดที่ไม่ได้รับอนุญาตนั้น ทาง Juniper ระบุว่ากำลังสอบสวนต่อไป พร้อมๆ กับการตรวจสอบโค้ดของ Junos OS

ที่มา - Juniper Blog

Tags:
Juniper

ช่องโหว่ของไฟร์วอลล์ Juniper ที่ทางบริษัทรายงานออกมาเองมีสองช่องโหว่สำคัญ ช่องโหว่รหัสผ่านลับนั้นนักวิจัยสามารถวิเคราะห์หารหัสผ่านลับออกมาได้แล้ว อีกช่องโหว่หนึ่งคือช่องโหว่ VPN ที่ผู้ที่ดักฟังการเชื่อมต่อได้จะสามารถถอดรหัสออกมาได้

กระบวนการเข้ารหัส VPN ของ ScreenOS นั้นอาศัยการสร้างเลขสุ่มเทียมสองชั้น คือ Dual_EC ซึ่งถูกตั้งข้อสงสัยมาตั้งแต่สมัยที่ Snowden เปิดเผยข้อมูล ว่า NSA อาจจะจงใจออกแบบให้มีช่องโหว่ โดยเฉพาะแนวทางการเลือกค่าคงที่ที่ไม่เปิดเผยว่าได้มาอย่างไร นักวิจัยของไมโครซอฟท์เคยเสนอไว้ว่าหากค่าคงที่ถูกออกแบบไว้เฉพาะ หากใครสังเกตเห็นค่าสุ่ม 30 ไบต์ก็สามารถคำนวณหาค่ากุญแจเริ่มต้นสำหรับการสร้างเลขสุ่มเทียมได้โดยง่าย

Tags:
China

ช่วงหลังมานี้ มาตรการรักษาความมั่นคงของจีนที่เกี่ยวข้องกับ VPN เริ่มจะหนักข้อขึ้นเรื่อยๆ หลังจากพยายามบล็อคผู้ให้บริการ VPN มาตลอดปี 2015 ล่าสุดมีรายงานว่ารัฐบาลจีนหันไปใช้วิธีการเล่นงานผู้ใช้ VPN ในรูปแบบใหม่แล้ว

รายงานดังกล่าวออกมาจาก New York Times ที่อ้างอิงข้อมูลจากผู้ใช้ VPN ในเขตปกครองตนเองซินเจียงอุยกูร์ทางตะวันตกเฉียงเหนือของจีน โดยระบุว่าได้รับแจ้งเตือนจากทางตำรวจในท้องที่ว่าจะปิดการให้บริการหมายเลขโทรศัพท์ในครอบครองภายในสองชั่วโมง เพื่อบีบให้ผู้ใช้ไปร้องเรียนแก่ตำรวจเพื่อใช้งานเครือข่ายอีกครั้ง

หนึ่งในผู้ร้องเรียนออกมาเปิดเผยว่าเมื่อเธอไปแจ้งความแก่ตำรวจ ก็ได้รับการบอกกล่าวว่ามาตรการนี้มุ่งเป้าไปยังกลุ่มผู้ใช้ที่ไม่ได้เชื่อมต่อระบบยืนยันตัวตนเข้ากับบัญชีส่วนตัว ใช้ระบบ VPN หรือดาวน์โหลดแอพแชทต่างประเทศอย่าง WhatsApp หรือ Telegram เป็นต้น

หลังจากเหตุการณ์ครั้งนี้ มีประชาชนในซินเจียงอุยกูร์ใช้งานมือถือไม่ได้ไปหลายราย บางรายระบุว่าใช้บริการไม่ได้มากว่า 3 วันแล้ว

ที่มา - TechCrunch

Tags:
Opera

Opera Desktop ออกเวอร์ชัน 32 เพิ่มฟีเจอร์ใหม่ที่สำคัญ 2 อย่าง

  • เพิ่มช่องทางการเชื่อมต่อ VPN ผ่าน SurfEasy ที่ซื้อกิจการเมื่อต้นปี สามารถใช้งานได้ฟรีโดยมีโควต้า 500MB ต่อเดือน ยังรองรับเฉพาะบน Windows/OS X
  • สามารถซิงก์รหัสผ่าน (password synchronization) ระหว่างคอมพิวเตอร์หลายเครื่องได้แล้ว ตอนนี้ยังใช้งานได้เฉพาะเดสก์ท็อปเท่านั้น ส่วนการซิงก์ไปยังอุปกรณ์พกพาจะตามมาทีหลัง

ที่มา - Opera Desktop

Tags:
IETF

มาตรฐาน HTTP/2 แก้ปัญหาของ HTTP 1/1.1 ไปหลายอย่าง ทำให้ข้อมูลสามารถส่งได้อย่างมีประสิทธิภาพดีขึ้นมากโดยเฉพาะการส่งข้อมูลขนาดเล็ก ตอนนี้ Mark Nottingham ประธานกลุ่มพัฒนา HTTP/2 ก็โพสข้อเสนอใหม่สู่ IETF เสนอให้มีส่วนเสริมของ HTTP/2 เพื่อใช้เป็นโปรโตคอลสำหรับ VPN

การใช้ VPN ผ่าน HTTP/2 จะมีข้อดีสำคัญคือการดักจับข้อมูลเพื่อบล็อคบริการ VPN จะทำได้ยากขึ้น เพราะภายนอกแล้วมันจะเหมือนกับ HTTP/2 ทั่วไปทุกประการ

ข้อเสนอนี้เป็นข้อเสนอเบื้องต้นที่ยังแทบไม่มีรายละเอียดอะไรนอกจากการเริ่มต้นการเชื่อมต่อ ผู้เขียนข้อเสนอระบุว่าต้องเพิ่มเติมทั้งส่วนการยืนยันตัวตน และแนวทางการส่งวงเครือข่ายที่สามารถเราท์ไปได้

วันนี้มีรายงานระบุว่าทางการจีนพยายามบล็อค VPN หนักขึ้นเรื่อยๆ Astrill ผู้ให้บริการ VPN ขึ้นข้อความเตือนผู้ใช้ว่าระบบ Great Firewall ของจีนเริ่มใช้กระบวนการเรียนรู้ด้วยคอมพิวเตอร์ (machine-learning) เพื่อบล็อค IPSec/PPTP/L2TP อย่างหนัก

ที่มา - GitHub.io, TechCrunch

Tags:

โอเปร่าผู้ผลิตเบราว์เซอร์ประกาศเข้าซื้อบริษัทให้บริการ VPN จากแคนาดาที่ชื่อ SurfEasy โดยไม่ระบุมูลค่า

โอเปร่าหลังจากเลิกทำเอนจินเบราว์เซอร์ของตัวเองแล้วไปใช้ Blink จากกูเกิล ตัวบริษัทก็หันมาให้บริการอำนวยความสะดวกผู้ใช้เว็บเช่นก่อนหน้านี้ให้บริการบีบอัดข้อมูล Opera Max

ทางโอเปร่าระบุว่าน่าจะมีการประกาศบริการพื้นฐานฟรี (freemium) ออกมาเร็วๆ นี้

ที่มา - The Register, SurfEasy

Tags:
Project Fi

มีคนไปพบโค้ดใน Android 5.1 Lollipop ว่ามีแอพตัวใหม่ชื่อ Google Connectivity Services หลบซ่อนอยู่ สามารถเรียกได้จากคำสั่ง ADB เท่านั้น เมื่อเรียกแอพตัวนี้ขึ้นมาจะพบข้อความ Google VPN และคำอธิบายว่ามันจะช่วยปกป้องข้อมูลของผู้ใช้เวลาส่งผ่าน Wi-Fi

โค้ดของแอพตัวนี้ยังมีส่วนที่เขียนถึง "Nova" ซึ่งเป็นโค้ดเนมของโครงการ MVNO ของกูเกิลดวย คาดว่าหลักฐานชุดนี้เป็นการบ่งชี้ว่าแผนการทำ MVNO ของกูเกิลจะใช้ทั้งเครือข่ายมือถือและ Wi-Fi ร่วมกัน โดยกูเกิลจะหันมาเป็นผู้ให้บริการ VPN กับลูกค้ารายย่อยทั่วไปด้วยตัวเอง

ก่อนหน้านี้มีข่าวหลุดออกมาว่าในช่วงแรกจะมีเพียง Nexus 6 เท่านั้นที่ได้ใช้ MVNO ของกูเกิลครับ

ที่มา - Android Police

Tags:
China

แนวทางการบล็อคเว็บอย่างต่อเนื่องของรัฐบาลจีนไม่ใช่เรื่องแปลกนัก แต่เมื่อวานนี้ผู้ให้บริการ VPN เริ่มถูกบล็อคบางส่วนจากจีนไปพร้อมๆ กัน โดยตอนนี้สามโปรโตคอลสำคัญ ได้แก่ IPSec, L2TP/IPSec, และ PPTP เริ่มถูกบล็อคอย่างรวดเร็ว

ผู้ให้บริการหลายรายระบุว่าน่าจะมีการอัพเกรด The Great Firewall ของจีนในช่วงสิ้นปีที่ผ่านมา ทำให้ตรวจจับการเชื่อมต่อ VPN และแบนไอพีเหล่านี้ได้มีประสิทธิภาพมากขึ้น

ตอนนี้มีผู้ให้บริการที่ออกมายืนยันว่ามีปัญหาการเชื่อมต่อจากในจีนแล้ว ได้แก่ Golden Frog, Astrill, และ StrongVPN

ที่มา - Global Times, The Register

Tags:
Netflix

ผู้ให้บริการสตรีมมิ่งภาพยนตร์รายใหญ่ในสหรัฐอเมริกาอย่าง Netflix ได้เริ่มออกมาจัดการกับผู้ใช้ที่เข้าถึงเนื้อหาจากนอกประเทศด้วยวิธีการต่างๆ แล้ว โดยมีรายงานจากผู้ใช้จำนวนมากว่าไม่สามารถใช้เทคนิคเดิมๆ ในการเข้าถึงบริการของ Netflix จากนอกสหรัฐอเมริกาได้ในตอนนี้

ทาง Netflix เองก็ได้เปิดเผยว่ากำลังทดสอบวิธีการบล็อคในหลายรูปแบบ เช่น การตรวจสอบที่อยู่ไอพีเพื่อป้องกันการเข้าถึงผ่าน VPN และพร็อกซี การบังคับใช้ Google DNS ในแอพแอนดรอยด์เพื่อป้องกันการหลอกด้วยเทคนิค DNS based location unblocker นอกจากนี้ยังทดลองการตรวจสอบด้วยการดึง time zone ของผู้ใช้ผ่านเบราว์เซอร์หรือดึงพิกัดของอุปกรณ์ผ่าน GPS แล้วเปรียบเทียบกับ time zone ของที่อยู่ไอพีที่ใช้อยู่ด้วย

การที่ Netflix ออกมาบล็อคผู้ใช้ที่อยู่นอกสหรัฐอเมริกานี้ไม่ได้เป็นเรื่องเหนือความคาดหมายแต่อย่างใด เพราะตัวบริการเองก็ไม่ได้ให้บริการนอกประเทศมาตั้งแต่ต้นแล้ว เนื่องจากการให้บริการในประเทศต่างๆ นั้นต้องมีการจัดการเรื่องลิขสิทธิ์สำหรับเนื้อหาต่างๆ ในแต่ละประเทศ และการปล่อยให้มีผู้ใช้จากนอกสหรัฐอเมริกาเข้าใช้งานได้ก็เป็นการทำร้ายเพื่อนร่วมวงการไปด้วยเช่นกัน โดยที่ก่อนหน้านี้ Hulu ผู้ให้บริการสตรีมมิ่งอีกรายหนึ่งในสหรัฐอเมริกาก็ได้บล็อคผู้ใช้ที่เชื่อมต่อผ่าน VPNมาแล้ว

ที่มา - TorrentFreak ผ่าน SlashGear

Tags:
NSA

การเข้ารหัสเป็นข้อจำกัดของ NSA มานาน เอกสารที่เปิดเผยออกมาโดย Edward Snowden ก่อนหน้านี้มักแสดงความพยายามของ NSA ที่จะหลบหลีกการเข้ารหัส เช่น ดักฟังการเชื่อมต่อระหว่างเซิร์ฟเวอร์ที่ก่อนหน้านี้ไม่เข้ารหัส แต่เอกสารล่าสุดแสดงว่า NSA ยังมีอีกทีมหนึ่งที่ช่วยถอดรหัสให้กับฝ่ายอื่นๆ ที่ต้องการได้ ชื่อทีมว่า S31176

ทีมงานนี้ให้บริการถอดรหัสข้อมูลสี่ประเภท ได้แก่ IPSec, PPTP, SSL/TLS, และ Secure Shell (SSH) แม้จะไม่สามารถถอดรหัสได้ทั้งหมด แต่ทีมงานนี้ก็หาช่องทางที่เป็นไปได้ในการเจาะรหัส โดยมีการรวบรวมฐานข้อมูลของ VPN ไว้ในฐานข้อมูลหลายชุด เช่น TOYGRIPPE เก็บ metadata ของ VPN, VULCANDEATHGRIP เก็บข้อมูล VPN, FOURSCORE เก็บข้อมูล PPTP

ทีม S31176 จะพยายามหาทางถอดรหัสข้อมูลเข้ารหัสให้ตามที่ร้องขอ โดยอาจจะต้องหาค่าคอนฟิกของ VPN เพื่อดึงเอากุญแจของ VPN มาถอดรหัส

ที่สำคัญคือการนำเสนอยังระบุถึงเครือข่าย VPN ที่สามารถเจาะได้สำเร็จแล้ว เช่น สายการบินอิหร่าน, Mir Telematiki (บริษัทสื่อสารในรัสเซีย), สถานทูตแม็กซิโก, รัฐบาลอัฟกานิสถาน, ธนาคาร Kabul, ธนาคาร BNI อินโดนีเซีย, บริษัทพลังงานในไนจีเรีย

ที่มา - Intro to the VPN Exploitation Process (PDF)

Tags:
Windows Store

Oliver Niehus ผู้บริหารฝ่ายพัฒนาแอพพลิเคชันของไมโครซอฟท์ เผลอโพสต์รายละเอียดของ Windows 10 ลงบล็อกแล้วนำออกในภายหลัง ในโพสต์นี้มีข้อมูลที่น่าสนใจของ Windows Store รุ่นใหม่ ที่บอกว่าจะมีแอพเดสก์ท็อป และเนื้อหาดิจิทัลประเภทอื่นๆ วางขายด้วย นอกเหนือจากของเดิมที่มีแต่แอพ Modern อย่างเดียว

เขายังบอกว่าไมโครซอฟท์จะเพิ่มวิธีจ่ายเงินให้หลากหลายมากขึ้น และเปิดให้องค์กรสามารถมี "หน้าร้าน" เฉพาะของตัวเองอยู่ใน Windows Store อีกทีหนึ่ง เพื่อให้พนักงานสามารถดาวน์โหลดแอพที่องค์กรอยากให้ใช้งานได้สะดวกกว่าเดิม

รายละเอียดอื่นๆ ของ Windows 10 ที่ถูกกล่าวถึงคือ รองรับ VPN แยกตามแอพพลิเคชัน และรองรับ Azure Active Directory (Azure AD) เต็มรูปแบบ

ที่มา - ZDNet

Tags:
Windows Phone 8.1

หลังจากที่ Windows Phone 8.1 Update ออกอัพเดตให้ผู้ที่ลงทะเบียนในโครงการ developer preview ไปสด ๆ ร้อน ๆ ก็เริ่มมีการเปิดเผยฟีเจอร์ใหม่ ๆ บนอัพเดตนี้เรื่อย ๆ ซึ่งหนึ่งในฟีเจอร์ใหม่ที่น่าสนใจพอสมควรก็คือ ตัวเลือกการแชร์อินเทอร์เน็ตผ่านทางบลูทูธ (จากเดิมที่แชร์ได้เฉพาะทาง Wi-Fi เท่านั้น) โดยผู้ใช้สามารถเลือกตัวเลือกได้ว่าจะแชร์อินเทอร์เน็ตผ่านทาง Wi-Fi หรือบลูทูธ

เรื่องนี้ไม่ใช่เรื่องใหม่เท่าไรนัก เพราะว่าบน iOS (ตั้งแต่ iOS 4.3 เป็นต้นไป) กับ Android ก็สามารถใช้งานฟีเจอร์นี้มาสักพักแล้วครับ - (Windows Phone Central)

นอกจากนี้ ใน Windows Phone 8.1 Update ยังได้เพิ่มตัวเลือกสำหรับพอร์ตการเชื่อมต่อ VPN แบบ L2TP/IPSec จากเดิมที่รองรับแค่แบบ IKEv2 เท่านั้น แต่อย่างไรก็ดี ก็ยังไม่มีตัวเลือกสำหรับการเชื่อมต่อแบบ PPTP อยู่ดี - (WMPoweruser)

Tags:

Slingshot ผู้ให้บริการอินเทอร์เน็ตในนิวซีแลนด์เปิดบริการเสริม Global Mode ทำให้ลูกค้าของ Slingshot สามารถกระโดดไปสหรัฐฯ และอังกฤษได้โดยไม่ต้องไปซื้อบริการ VPN จากที่อื่นเพิ่มเติม

ผู้บริหารของ Slingshot ระบุชัดเจนว่าฟีเจอร์นี้มีไว้เพื่อให้บริการที่บล็อคผู้ใช้นอกประเทศ เช่น BBC iPlayer, Netflix หรือ Amazon Prime

ผู้ให้บริการในไทยควรเอาเป็นแบบอย่าง เผื่อ "เกตเวย์ล่ม" ลูกค้าจะได้ใช้งานต่อได้

ที่มา - Engadget

Tags:

ปัญหาเฟซบุ๊กเข้าจากประเทศไทยไม่ได้ อาจจะยังไม่ชัดเจนนักว่ามีคำสั่งมาหรือไม่ แต่ก็มีบริษัทรักษาความปลอดภัยอย่าง F-Secure ออกมาประกาศแจก F-Secure Freedome VPN ฟรี 6 เดือนทันที

ผู้ใช้ทุกคนสามารถติดตั้งได้จาก Google Play หรือ iTunes แล้วเปิดใช้งาน จากนั้นเลือกเมนู Subscription แล้วกดลิงก์ "Have a code?" เพื่อใส่โค้ด "david" จึงใช้งานได้ฟรี 6 เดือนครับ

ที่มา - @FSecure

Tags:
Hulu

สหรัฐอเมริกามีบริการสตรีมมิ่งทั้งภาพยนตร์และเพลงที่โด่งดังหลายตัว เช่น Netflix หรือ Hulu อย่างไรก็ตาม บริการเหล่านี้ถูกจำกัดให้เข้าถึงได้ (แม้จะเสียเงินแล้วก็ตาม) จากภายในประเทศที่ให้บริการเท่านั้น ด้วยเหตุผลด้านลิขสิทธิ์ของภาพยนตร์ที่ซื้อมาครอบคลุมเฉพาะประเทศนั้นๆ

ทางออกของคนที่อยู่ต่างประเทศและอยากดูวิดีโอบน Netflix หรือ Hulu จึงเป็นการต่อผ่าน VPN ไปโผล่ที่เครื่องภายในสหรัฐก่อน จากนั้นค่อยส่งข้อมูลผ่าน VPN กลับมายังเครื่องของเราอีกทีหนึ่ง

อย่างไรก็ตาม ล่าสุดเมื่อสัปดาห์ที่แล้ว Hulu เริ่มบล็อคทราฟฟิกที่มาจากหมายเลขไอพีที่ทราบว่าเป็นของ VPN รายใหญ่ๆ แล้ว โดยผู้ที่เข้าจาก VPN จะได้รับการแจ้งเตือนผ่านหน้าเว็บว่าคุณกำลังเข้าใช้งาน Hulu จาก anonymous proxy และไม่สามารถให้บริการได้ถ้าอยู่นอกสหรัฐ (Hulu ไม่ได้ประกาศเรื่องนี้อย่างเป็นทางการ)

ตัวแทนจาก TorGuard ผู้ให้บริการ VPN ออกมาให้สัมภาษณ์ว่าผิดหวังกับท่าทีนี้ของ Hulu และเสนอทางแก้เบื้องต้นว่าถ้าอยากใช้จริงๆ ก็คงต้องใช้ VPN ที่มีหมายเลขไอพีเฉพาะของตัวเองที่ไม่ต้องแชร์กับใคร ซึ่ง TorGuard ก็พบว่ามีลูกค้าที่ซื้อบริการแบบนี้มากขึ้นทันทีหลัง Hulu ปรับนโยบาย

ที่มา - TorrentFreak

Tags:
Heartbleed

Mandiant บริษัทในเครือ FireEye รายงานว่ามีแฮกเกอร์ขโมย session ของเซิร์ฟเวอร์ VPN ด้วยบั๊ก Heartbleed สำเร็จ กระบวนการขโมย session นี้ทำให้แฮกเกอร์สามารถข้ามกระบวนการยืนยันตัวตนทุกรูปแบบ รวมไปถึงการยืนยันตัวตนด้วยปัจจัยที่สอง (2-factor authentication) ไปได้

รายงานบั๊ก Heartbleed ก่อนหน้านี้มักเป็นการขโมยกุญแจลับของเซิร์ฟเวอร์ ซึ่งหากขโมยสำเร็จก็มีโอกาสที่แฮกเกอร์จะถอดรหัสข้อมูลหรือขโมยรหัสผ่านของผู้ใช้ แต่การขโมย session เช่นนี้ทำให้แฮกเกอร์สามารถสวมรอยเข้าเป็นผู้ใช้ที่ล็อกอิน VPN สำเร็จแล้ว

ในไทยผู้ใช้ VPN ส่วนมากเป็นองค์กรขนาดใหญ่ การแจ้งเตือนจาก Mandiant ครั้งนี้ก็ย้ำว่าไม่ใช่เฉพาะเซิร์ฟเวอร์ HTTPS เท่านั้นที่ต้องตรวจสอบและอัพเดตซอฟต์แวร์ แต่รวมไปถึง VPN ทั้งหลายที่ใช้งานอยู่ก็ต้องอัพเดตทั้งหมดอย่างเร่งด่วนเช่นกัน

ที่มา - Mandiant

Tags:
Android

CERT-IN หน่วยงานด้านความปลอดภัยไซเบอร์ของรัฐบาลอินเดีย ประกาศเตือนว่ามีช่องโหว่ด้านความปลอดภัยของ VPN บน Android 4.3 (Jelly Bean) และ Android 4.4 (KitKat) ซึ่งทำให้แฮกเกอร์เลี่ยง (bypass) การตั้งค่า VPN ที่ใช้งานอยู่, เปลี่ยนเส้นทางการเชื่อมต่อ VPN ไปยังเซิร์ฟเวอร์อื่น หรือเข้าถึงอ่านข้อมูลที่ไม่ถูกเข้ารหัสได้

CERT-IN ยังเตือนว่า หากมือถือ Android ถูกเจาะผ่านช่องโหว่ VPN แฮกเกอร์อาจเข้าถึงข้อความ อีเมล และรายชื่อผู้ติดต่อในมือถือได้ด้วย

ช่องโหว่ด้านความปลอดภัยนี้ถูกพบครั้งแรกบน KNOX (แพลตฟอร์มด้านความปลอดภัยบนสมาร์ทโฟนของซัมซุง) โดยกลุ่มนักวิจัยจากมหาวิทยาลัยในอิสราเอล ต่อมานักวิจัยกลุ่มนี้พบว่าช่องโหว่นี้กระทบถึงมือถือ Android ทุกเครื่องไม่ใช่เฉพาะมือถือซัมซุงเท่านั้น

กูเกิลรับทราบช่องโหว่นี้แล้วและเป็นไปได้ที่บริษัทจะอุดช่องโหว่นี้ใน Android รุ่นถัดไป ส่วนซัมซุงแก้ข่าวช่องโหว่ KNOX ว่าแท้จริงแล้วเป็นการดักจับข้อมูลระหว่างทาง

ที่มา: The Times of India

Tags:
Visa

iPredator ผู้ให้บริการ VPN ที่เน้นการสร้างความเป็นส่วนตัวระบุว่าบริการรับจ่ายเงิน PaySon ถูกกดดันจากมาสเตอร์การ์ดและวีซ่าให้หยุดให้บริการกับผู้ให้บริการปกปิดตัวตน ทำให้ iPredator ไม่สามารถรับเงินผ่านทางบัตรเครดิตทั้งสองรายได้อีกต่อไป

บริการ iPredator ยังคงเปิดให้บริการ และยังรับเงินผ่านทั้ง BitCoin และ paysafecard อย่างไรก็ดียังมีผู้ให้บริการ VPN รายอื่นๆ ที่รับเงินผ่านทาง PaySon จึงไม่แน่ชัดว่านโยบายที่บังคับกับ iPredator ต่างจากรายอื่นอย่างไร

ที่มา - The Register