Tags:
Heartbleed

Mandiant บริษัทในเครือ FireEye รายงานว่ามีแฮกเกอร์ขโมย session ของเซิร์ฟเวอร์ VPN ด้วยบั๊ก Heartbleed สำเร็จ กระบวนการขโมย session นี้ทำให้แฮกเกอร์สามารถข้ามกระบวนการยืนยันตัวตนทุกรูปแบบ รวมไปถึงการยืนยันตัวตนด้วยปัจจัยที่สอง (2-factor authentication) ไปได้

รายงานบั๊ก Heartbleed ก่อนหน้านี้มักเป็นการขโมยกุญแจลับของเซิร์ฟเวอร์ ซึ่งหากขโมยสำเร็จก็มีโอกาสที่แฮกเกอร์จะถอดรหัสข้อมูลหรือขโมยรหัสผ่านของผู้ใช้ แต่การขโมย session เช่นนี้ทำให้แฮกเกอร์สามารถสวมรอยเข้าเป็นผู้ใช้ที่ล็อกอิน VPN สำเร็จแล้ว

ในไทยผู้ใช้ VPN ส่วนมากเป็นองค์กรขนาดใหญ่ การแจ้งเตือนจาก Mandiant ครั้งนี้ก็ย้ำว่าไม่ใช่เฉพาะเซิร์ฟเวอร์ HTTPS เท่านั้นที่ต้องตรวจสอบและอัพเดตซอฟต์แวร์ แต่รวมไปถึง VPN ทั้งหลายที่ใช้งานอยู่ก็ต้องอัพเดตทั้งหมดอย่างเร่งด่วนเช่นกัน

ที่มา - Mandiant

Tags:
Android

CERT-IN หน่วยงานด้านความปลอดภัยไซเบอร์ของรัฐบาลอินเดีย ประกาศเตือนว่ามีช่องโหว่ด้านความปลอดภัยของ VPN บน Android 4.3 (Jelly Bean) และ Android 4.4 (KitKat) ซึ่งทำให้แฮกเกอร์เลี่ยง (bypass) การตั้งค่า VPN ที่ใช้งานอยู่, เปลี่ยนเส้นทางการเชื่อมต่อ VPN ไปยังเซิร์ฟเวอร์อื่น หรือเข้าถึงอ่านข้อมูลที่ไม่ถูกเข้ารหัสได้

CERT-IN ยังเตือนว่า หากมือถือ Android ถูกเจาะผ่านช่องโหว่ VPN แฮกเกอร์อาจเข้าถึงข้อความ อีเมล และรายชื่อผู้ติดต่อในมือถือได้ด้วย

ช่องโหว่ด้านความปลอดภัยนี้ถูกพบครั้งแรกบน KNOX (แพลตฟอร์มด้านความปลอดภัยบนสมาร์ทโฟนของซัมซุง) โดยกลุ่มนักวิจัยจากมหาวิทยาลัยในอิสราเอล ต่อมานักวิจัยกลุ่มนี้พบว่าช่องโหว่นี้กระทบถึงมือถือ Android ทุกเครื่องไม่ใช่เฉพาะมือถือซัมซุงเท่านั้น

กูเกิลรับทราบช่องโหว่นี้แล้วและเป็นไปได้ที่บริษัทจะอุดช่องโหว่นี้ใน Android รุ่นถัดไป ส่วนซัมซุงแก้ข่าวช่องโหว่ KNOX ว่าแท้จริงแล้วเป็นการดักจับข้อมูลระหว่างทาง

ที่มา: The Times of India

Tags:
Visa

iPredator ผู้ให้บริการ VPN ที่เน้นการสร้างความเป็นส่วนตัวระบุว่าบริการรับจ่ายเงิน PaySon ถูกกดดันจากมาสเตอร์การ์ดและวีซ่าให้หยุดให้บริการกับผู้ให้บริการปกปิดตัวตน ทำให้ iPredator ไม่สามารถรับเงินผ่านทางบัตรเครดิตทั้งสองรายได้อีกต่อไป

บริการ iPredator ยังคงเปิดให้บริการ และยังรับเงินผ่านทั้ง BitCoin และ paysafecard อย่างไรก็ดียังมีผู้ให้บริการ VPN รายอื่นๆ ที่รับเงินผ่านทาง PaySon จึงไม่แน่ชัดว่านโยบายที่บังคับกับ iPredator ต่างจากรายอื่นอย่างไร

ที่มา - The Register

Tags:
China

การเซ็นเซอร์อินเทอร์เน็ตในจีนเป็นเรื่องที่รู้กันดี แต่ช่วงหลายสัปดาห์ที่ผ่านมาหลายบริษัทที่ให้บริการ VPN กับลูกค้าในจีนพบว่าลูกค้าเชื่อมต่อเข้ามาได้ยากขึ้นเรื่อยๆ เช่น Astrill ประกาศขอให้ลูกค้าเปลี่ยนไปใช้พอร์ต 443 เพื่อปลอมตัวเป็น HTTPS พร้อมทั้งเปิด Stealth TCP

ก่อนหน้านี้ทางการจีนเริ่มจำกัดการใช้ VPN ในศูนย์ธุรกิจที่เคยเปิดให้ใช้บริการกันค่อนข้างเสรี

รายงานผู้ใช้ VPN ใน Slashdot หลายคนระบุว่าช่วงหลังมานี้การเชื่อมต่อ VPN เริ่มถูกบล็อคหลังจากใช้พอร์ตเดิมไปได้ในช่วง 24 ถึง 48 ชั่วโมง

หลังจากนั้นรายงานระบุว่าแอปเปิลเริ่มใช้ HTTPS เพื่อแสดงผลค้นหาใน iTunes เนื่องจากการเชื่อมต่อจะถูกตัดขาดทุกครั้งที่มีการค้นหาคำว่า VPN

ที่มา - GreatFire.org, Voice of America, Slashdot

Tags:
China

แม้ระบบบล็อคเว็บ The Great Firewall นั้นจะได้ชื่อว่าเป็นระบบกรองเว็บที่มีประสิทธิภาพดีที่สุดในโลกอันหนึ่ง (อาจจะเพราะมีเจ้าหน้าที่ทำงานอยู่จำนวนมาก) แต่ศูนย์ธุรกิจซึ่งมีบริษัทเทคโนโลยีไปตั้งอยู่ส่วนมาก มักจะยอมให้ใช้งาน VPN กันได้เพราะไม่เช่นนั้นจะไม่สามารถทำธุรกิจได้ ช่องทางเหล่านี้กลายเป็นช่องทางของคนจีนที่ต้องการเข้าใช้งานบริการ เช่น เฟซบุ๊ก, มายสเปซ, หรือทวิตเตอร์

เมื่อวันที่ 19 ที่ผ่านมาทางการหน่วยเฝ้าระวังอินเทอร์เน็ตของเมืองจีหนาน (Jinan) ก็ประกาศห้ามใช้ VPN อีกต่อไป โดยผู้ที่ต้องการใช้งานทั้งหมดจะต้องไปกรอกแบบฟอร์มด้วยตัวเองเพื่อขอรับอนุญาตเป็นรายบุคคล

เราคงเห็นการปลอมทราฟิกเป็น HTTP หรือทราฟิกแบบอื่นๆ เพื่อให้ใช้งานได้กันต่อไปเร็วๆ นี้

ที่มา - China Digital Times

Tags:
Olympic

ปรากฎการณ์หนวดกุ้งไม่ได้มีเฉพาะบ้านเราแต่ในสหรัฐฯ ปรากฎว่าช่อง NBC ไปประมูลสิทธิ์การฉายทั่วประเทศมาด้วยเงิน 1,100 ล้านดอลลาร์หรือเกือบ 35,000 ล้านบาท สิ่งที่เกิดขึ้นคือ NBC ทำทุกอย่างเพื่อทำให้ได้เงินโฆษณาสูงสุด เช่น นำส่วนสำคัญๆ อย่างพิธีเปิดปิด หรือกีฬาบางประเภทไปฉายในเวลาที่คนดูเยอะๆ แทนที่จะถ่ายทอดสดตามปกติ

แต่ขณะเดียวกันชาวอังกฤษนั้นกลับสามารถดูรายการสดออนไลน์ได้ถึง 24 ช่อง โดยไม่ต้องเสียค่าบริการใดๆ ขอเพียงใช้หมายเลขไอพีในอังกฤษเท่านั้น

บริการ HideMyAss.com ที่ให้บริการ VPN เดือนละ 4.99 ดอลลาร์ระบุว่า มีลูกค้าเพิ่มขึ้นสิบเท่าตัวตั้งแต่วันศุกร์ที่ผ่านมา รวมถึงยอดต่อบริการก็เพิ่มขึ้นสองเท่าตัว

การกระทำเช่นนี้ผิดต่อข้อตกลงการใช้งานของ BBC ที่ให้บริการถ่ายทอดสดออนไลน์ และตัวบริการ HideMyAss.com ก็ไม่ได้โฆษณาว่าใช้บริการของตัวเองดูโอลิมปิกได้แต่อย่างใด

กรณี NBC ผมยังไม่ได้ยินข่าวว่าละเมิดผู้บริโภคในสหรัฐฯ หรือต้องให้หน่วยงานกำกับดูแลอย่าง FCC เข้ามาจัดการแก้ปัญหาแต่อย่างใด

ที่มา - International Business Times

Tags:
Iran

หลังจากครั้งล่าสุดที่อิหร่านบล็อค HTTPS ทั้งประเทศ เมื่อวันที่ 12/02/12 พอวันนี้ 21/02/12 ก็เกิดการบล็อคอินเทอร์เน็ตขึ้นอีกครั้ง โดยคราวนี้แม้แต่ VPN ก็โดนไปกับเขาด้วยครับ

รัฐบาลอิหร่านได้ทำการบล็อคทราฟฟิกอินเทอร์เน็ตส่วนที่เป็น HTTPS/SSL อีกครั้ง ส่งผลให้เว็บไซต์ที่ใช้ HTTPS/SSL ไม่สามารถเข้าใช้งานได้ สำหรับการบล็อคครั้งล่าสุดนี้ส่งผลกระทบถึงการใช้งาน VPN ด้วย น่าจะมีสาเหตุมาจากการบล็อคครั้งที่แล้วได้มีความพยายามที่จะใช้ VPN ในการหลีกเลี่ยงการบล็อคของทางการ

คาดการณ์ว่าการบล็อคในครั้งนี้น่าจะกินเวลาประมาณสองสัปดาห์ก่อนการเลือกตั้งของรัฐสภาที่กำลังจะเริ่มต้นขึ้นในช่วงต้นเดือนมีนาคมนี้ ในการเลือกตั้งครั้งนี้นับเป็นการเลือกตั้งระดับชาติครั้งแรกตั้งแต่ปี 2009 โดยทางรัฐบาลอิหร่านยังไม่มีแถลงการณ์ใดๆ ต่อการบล็อคในครั้งนี้

ตัวเลขจากหน่วยงานขององค์การสหประชาชาติแสดงให้เห็นว่าเปอร์เซ็นต์ของชาวอิหร่านที่ใช้อินเทอร์เน็ตได้เพิ่มขึ้นถึง 13% จาก 1% ในช่วงทศวรรษที่ผ่านมา และมีแนวโน้มที่จะเพิ่มสูงขึ้นเรื่อยๆ

ที่มา - CBR, CNET

Tags:
Android

แนวทางการพัฒนาให้แอนดรอยด์ได้รับการยอมรับในตลาดองค์กรนั้นเป็นแนวทางที่ชัดเจน แต่ฟีเจอร์ที่ถูกเรียกร้องมายาวนานอย่างการรองรับ Cisco AnyConnect ที่ต้องการโปรโตคอล IPSec โดยฟีเจอร์นี้ถูกเรียกร้องมาตั้งแต่ปี 2009 หรือช่วงแรกๆ ของแอนดรอยด์

บั๊กนี้ถูกปล่อยให้อยู่ในสถานะ New มาตลอดเวลาจนหลายคนบ่นว่ากูเกิลปล่อยบั๊กนี้โดยไม่สนใจ แต่ล่าสุดหลังการปล่อย Android 4.0 Ice-Cream Sandwich กูเกิลก็ออกมาบอกสั้นๆ ว่าบั๊กนี้ถูกแก้ไปแล้ว

อย่างไรก็ดีแม้บั๊กนี้จะถูกแก้ไปแล้ว แต่ก็แสดงความ "ปิด" ของแอนดรอยด์ที่ไม่มีการเปิดเผยว่าบั๊กนี้มีการรับไปทำแล้วหรืออยู่ระหว่างการแก้ไข แต่บั๊กถูกปล่อยในสถานะ New แล้วเปิดเผยมาอีกครั้งว่าแก้แล้ว

ที่มา - Android Issue 3902, Comment 1537

Tags:

ปากีสถานเป็นอีกประเทศหนึ่งในโลกที่มีการเซ็นเซอร์อินเทอร์เน็ตอย่างเข้มข้น ก่อนหน้านี้ก็มีข่าวแบน Facebook ไปเมื่อกลางปีที่ผ่านมา และบล็อก YouTube เมื่อปี 2008 โดยมีเหตุผลคือเรื่องการดูหมิ่นศาสดามูฮัมหมัด นอกจากนี้ในเดือนที่แล้วก็เพิ่งบล็อกเว็บไซต์ของนิตยสาร Rolling Stone เนื่องจากตีพิมพ์บทความเรื่องงบประมาณของกองทัพที่สูงเกินควร

ล่าสุดรัฐบาลปากีสถานสั่งการให้ผู้บริการอินเทอร์เน็ตในประเทศคอยสอดส่องดูการใช้งานของผู้ใช้ และให้แจ้งให้เจ้าหน้าที่รัฐทราบหากพบว่ามีผู้ใช้ "วิธีการสื่อสารใดๆ อันเป็นการปกปิดการสอดส่อง รวมถึง VPN ด้วย" (all such mechanisms including EVPNs [encrypted virtual private networks] which conceal communication to the extent that prohibits monitoring) ถ้าหากผู้ใดต้องการใช้งานซอฟต์แวร์เข้ารหัสลับจะต้องยื่นขออนุญาตเป็นรายๆ ไป

ทางการปากีสถานให้เหตุผลว่าเป็นการกระทำเพื่อป้องกันการก่อการร้าย

เจ้าของบริษัทซอฟต์แวร์แห่งหนึ่งในปากีสถานให้สัมภาษณ์กับ The Guardian ว่า "เหมือนการห้ามคนใช้รถยนต์ เพราะกลัวคาร์บอมบ์"

ที่มา - The Guardian

Tags:
The Pirate Bay

หลังผมเขียนข่าว ICT พยายามเก็บข้อมูลอินเทอร์เน็ต มีคนมาถามผมว่าถ้าใช้บริการ VPN นั้นจะป้องกันได้ไหม คำตอบสำหรับเรื่องนี้ได้แน่นอน แต่คนใช้ทั่วไปอย่างเราๆ ท่านๆ คงไม่สามารถตั้งเซิร์ฟเวอร์ VPN ไว้ต่างประเทศเล่นๆ เองได้ ครั้นจะเช่าผู้ให้บริการก็ไม่รู้จะเลือกของใคร แต่ The Pirate Bay ผู้ให้บริการค้นหาไฟล์ torrent รายใหญ่ก็ได้เปิดบริการ VPN ของตัวเองแล้วในชื่อ Ipredator

บริการนี้ไม่มีอะไรต่างจากบริการ VPN อื่นๆ ที่มีอยู่ทั่วไป แต่ด้วยชื่อของ The Pirate Bay เราอาจจะวางใจว่าข้อมูลส่วนตัวเราจะเป็นข้อมูลส่วนตัวจริง โดยไม่โอนอ่อนต่ออำนาจรัฐใดๆ จากประวัติอันโชกโชนของทีมงาน

ราคา 15 ยูโรต่อ 3 เดือน ไม่แพงมากถ้ัาไม่รวมค่าธรรมเนียมต่างๆ ในการจ่ายเงิน

ที่มา - TorrentFreak

Tags:
The Pirate Bay

แม้ว่าทางทีมงาน The Pirate Bay จะต้องเตรียมตัวไปฟังคำพิพากษากันกลางเดือนหน้าแล้ว แต่ทาง The Pirate Bay ก็ไม่ได้หยุดการดำเนินการเพิ่มเติมแต่อย่างไร ล่าสุดทีมงานก็เปิดให้บริการ VPN ทำให้ผู้ใช้บริการสามารถปิดบังไอพีที่แท้จริงของตัวเองได้ ในชื่อว่า IPREDator

แน่นอนว่ายี่ห้อ The Pirate Bay นั้นใช้ได้ดีว่าน่าเชื่อถือว่าทาง The Pirate Bay จะไม่เปิดเผยข้อมูลของผู้ใช้ และไม่มีการเก็บข้อมูลใดๆ เกี่ยวกับการเชื่อมต่อของผู้ใช้เอาไว้ในเซิร์ฟเวอร์ ทำให้นี่อาจจะเป็นช่องทางหารายได้ของทาง The Pirate Bay อย่างเป็นกอบเป็นกำเลยทีเดียว

ค่าบริการเดือนละ 7 ดอลลาร์ เปิดบริการเดือนเมษายนนี้

ที่มา - ArsTechnica