คลังเก็บป้ายกำกับ: WEB_SECURITY

เตือน! พบ Add-on บน Firefox ถูกโหลดแล้วกว่า 2 แสนครั้งแอบเก็บข้อมูลการใช้งาน

ผู้เขียนแอปพลิเคชัน uBlock Origin ad blocker และ Mike Kuketz บล็อกเกอร์ชาวเยอรมันได้ร่วมกันตรวจสอบ add-on ต้องสงสัยที่ชื่อ Web Security ซึ่งถูกดาวน์โหลดไปแล้วกว่า 220,000 ครั้งมีการแอบเก็บข้อมูลการใช้งาน

Credit: ShutterStock.com

Web Security เป็นแอปจากบริษัท Creative Software Solutions ที่ต้องการปกป้องผู้ใช้งานจากมัลแวร์ เว็บไซต์ที่ถูกแก้ไข หรือไซต์หลอกลวงมาขโมยข้อมูลของผู้ใช้งาน แต่เรื่องราวกลับตาลปัตรเมื่อเครื่องมือป้องกันกลายเป็นผู้เก็บข้อมูลเสียเอง เรื่องคือจากยอดรีวิวและจำนวนคนติดตั้ง add-on นี้สูงขึ้นทำให้ได้อยู่ในลิสต์แนะนำในบล็อกทางการของ Firefox หลังจากนั้นไม่นาน Raymond Hill ผู้เขียน uBlock Origin ad Blocker หรือ add-on อีกรายหนึ่งได้ชี้ผ่าน Reddit ถึงพฤติกรรมที่น่าสงสัยของ Web Security ว่า “ผมเห็นว่าทุกเพจที่โหลดใน Browser มีการส่ง POST ไปยัง http://136.243.163.73 แต่ว่าข้อมูลเหมือนขยะเลยใครสักคนช่วยดูต่อที” ผ่านมาหลายวันจนกระทั่งเมื่อวันอังคาร Kuketz ก็ได้ไปแกะข้อมูลที่ส่งออกไปซึ่งพบว่ามีการส่งไปยังเซิร์ฟเวอร์ประเทศเยอรมัน

credit: Bleepingcomputer

มองโลกในแง่ดี add-on ที่ถูกกล่าวหาอาจจะมีการเช็คกับเซิร์ฟเวอร์ปลายทางถึง URL ที่ตรวจสอบพบมาก็ได้แต่จากข้อมูลที่แกะได้ (ด้านบน) ดูเหมือนว่าจะมีข้อมูลการติดตาม ID ของผู้ใช้งานด้วย รวมไปถึงรูปแบบการค้นหาว่าผู้ใช้งานมีการเปลี่ยนจาก URL เดิมไปยัง URL ใหม่อย่างไร ซึ่งค่อนข้างจะมากไปและขัดแย้งกับข้อห้ามของ Mozilla เรื่องการเก็บ Log ของผู้ใช้งาน ถึงกระนั้น Mozilla ก็ยังไม่ได้ลบ add-on ออกจากหน้าให้ดาวน์โหลดแต่ได้ลบที่โพสต์ในบล็อกของบริษัทแล้ว โดยอาจเพราะต้องให้เวลาวิศวกรตรวจสอบดูให้แน่ใจเสียก่อนถึงพฤติกรรมที่ไม่เหมาะสมนี้

อย่างไรก็ตามทาง Creative Software Solution ยังไม่ได้นำเสนอ Web Security ในเวอร์ชันบน Chrome เพราะยังพัฒนาไม่เสร็จแต่ก็มีการตอบกลับจากโฆษกของบริษัทว่า “Web Security มีความมุ่งหวังตามชื่อคือปกป้องข้อมูลของผู้ใช้งานจากเว็บไซต์อันตราย เราไม่ต้องการติดตามและขโมยข้อมูลผู้ใช้หรือประวัติการใช้งาน กิจกรรมหนึ่งที่อยู่ในนี้ต้องมีการเช็ครายชื่อในบัญชีดำ ดังนั้นจึงจำเป็นต้องสื่อสารกับเซิร์ฟเวอร์อย่างเลี่ยงไม่ได้ เราเก็บมันอย่างน้อยที่สุดและไม่ได้เก็บ Log ของการสื่อสารนี้เอาไว้ ทุกเซิร์ฟเวอร์ของเราอยู่ในเยอรมันนีด้วยเหตุนี้จึงต้องอยู่ภายใต้ GDPR และต้องประมวลผลข้อมูลอย่างมีเหตุผลเท่านั้น อีกทั้ง add-on ของเราก็ถูกตรวจสอบโดย Mozilla แล้วว่าอนุญาตการสื่อสารที่เกิดขึ้นและข้อมูลที่ส่งออกก็ค่อนข้างปลอดภัย โดยเราถือเรื่อง Privacy อย่างจริงจังและผมก็แจ้งนักพัฒนาให้ไปตรวจสอบและพัฒนาเพิ่มเติมแล้ว” ก็ไม่รู้ว่าเรื่องจริงเป็นอย่างไรทางที่ดีก็ระวังพวก add-on ทั้งหลายไว้หน่อยนะครับ ช่วงนี้ก็มีเรื่องอย่างนี้เข้ามาเรื่อยๆ เพื่อความปลอดภัยของผู้ใช้งานทุกคน

ที่มา : https://www.bleepingcomputer.com/news/security/firefox-add-on-with-220-000-installs-caught-collecting-users-browsing-history/

from:https://www.techtalkthai.com/experts-reveal-web-security-firefox-add-on-is-tracking-browsing-data/

Advertisements

ทันควัน! Mozilla ประกาศ Firefox สามารถรองรับการใช้งาน TLS 1.3 แล้ว

หลังจาก IETF ออกประกาศเวอร์ชันสมบูรณ์ของ TLS 1.3 เรียบร้อยแล้วทาง Mozilla เองก็ไม่รอช้าที่จะประกาศตอบรับว่า Firefox เวอร์ชัน 61 หรือที่ใช้งานอยู่ปัจจุบัน สามารถรองรับการใช้งาน TLS 1.3 ได้แล้วเช่นกัน

TLS 1.3 มีการอัปเดตช่วยให้การใช้งานมีความมั่นคงปลอดภัยและรวดเร็วขึ้นกว่าเดิม ซึ่งโปรโตคอลใหม่นี้ใช้เวลาในการจัดทำอยู่หลายปีและมีระยะห่างกับ TLS 1.2 ถึง 10 ปีนับตั้งแต่เปิดตัว อย่างไรก็ตามใน Firefox เวอร์ชันล่าสุดจะยังรองรับกับ TLS 1.3 ในเวอร์ชัน Draft-28 แต่ในบล็อกของ Mozilla ยืนยันว่าเพียงพอที่จะใช้งานกับเวอร์ชันสมบูรณ์ที่ IETF ประกาศออกมาได้เพราะต่างกันแค่เพียงตัวเลขเท่านั้น โดยมีการวางแผนว่า Firefox จะรองรับเวอร์ชันสุดท้ายจริงๆ ในเวอร์ชัน 63 ที่จะออกมาเดือนตุลาคมนี้ นอกจากนี้ตัวเลขสถิติการใช้งาน TLS 1.3 บน Firefox มีประมาณเกือบ 5% และเป็นตัวเลขที่ตรงกันกับรายงานจาก Cloudflare ในขณะที่มีรายงานจากฝั่ง Facebook ว่า Social Media รายใหญ่นี้มีทราฟฟิคที่เป็น TLS 1.3 มากกว่า 50% เรียบร้อยแล้ว (ผู้ที่สนใจรายละเอียดโดยสรุปของ TLS 1.3 สามารถติดตามได้จากข่าวของ TechTalkThai )

ที่มา : https://techcrunch.com/2018/08/13/firefox-now-supports-the-newest-internet-security-protocol/  

from:https://www.techtalkthai.com/firefox-presently-announces-support-for-tls-1-3/

ดาวน์โหลดฟรี!! Malwarebytes Browser Extension สำหรับบล็อก Malware, Scams และ Ads

Malwarebytes ผู้ให้บริการโซลูชัน Anti-exploit ชื่อดัง ออก Extension สำหรับ Chrome และ Firefox ชื่อว่า “Malwarebytes Browser Extension (BETA)” เพื่อป้องกันผู้ใช้จากเว็บไซต์อันตราย, ป๊อบอัป และการต้มตุ๋นบนอินเทอร์เน็ตขณะท่องเว็บ รวมไปถึงทำหน้าบล็อกโฆษณาไม่พึงประสงค์ด้วย ผู้ที่สนใจสามารถดาวน์โหลดไปใช้งานได้ฟรี

คุณสมบัติเด่นของ Malwarebytes Browser Extension (BETA) ได้แก่

  • ป้องกันมัลแวร์ – บล็อกโปรแกรมหรือโค้ดไม่พึงประสงค์ที่อาจทำความเสียหายแก่ระบบ
  • ป้องกันการถูกหลอก – บล็อกการต้มตุ๋นออนไลน์ (Online Scam) ไม่ว่าจะเป็น Tech Support Scam, Browser Lockers หรือ Phishing
  • ป้องกันโฆษณาและแทร็กเกอร์ – บล็อกโฆษณาและแทร็กเกอร์ที่คอยสอดส่องการใช้งานออนไลน์ของคุณ
  • ป้องกัน Clickbait – บล็อกคอนเทนต์และเว็บไซต์ที่มักแสดงพฤติกรรมที่น่าสงสัย
  • ป้องกัน Potentially Unwanted Program (PUP) – บล็อกการดาวน์โหลดโปรแกรมที่ผู้ใช้ไม่น่าต้องการใช้งาน เช่น Toolbars และ Pop-ups

นอกจากนี้ Malwarebytes ยังระบุอีกว่า Malwarebytes Browser Extension (BETA) เป็น Extension แรกที่ใช้เทคนิคแบบ Heuristic ในการตรวจจับและบล็อก Tech Support Scam นั่นหมายความ นอกจากจะบล็อก Tech Support Scam ที่มีอยู่ในฐานข้อมูลแล้ว อาจสามารถบล็อก Scam ใหม่ในอนาคตได้โดยอัตโนมัติอีกด้วย

ในกรณีที่บล็อกมัลแวร์หรือสิ่งผิดปกติ Malwarebytes Browser Extension (BETA) จะแสดงผลดังรูปด้านล่าง

ผู้ที่สนใจสามารถทดลองใช้งาน Malwarebytes Browser Extension (BETA) ได้ที่ Chrome Web Store หรือ Firefox Extension

รายละเอียดเกี่ยวกับวิธีติดตั้งและใช้งาน: https://blog.malwarebytes.com/malwarebytes-news/betas/2018/07/introducing-malwarebytes-browser-extension/

ที่มา: https://www.bleepingcomputer.com/news/security/malwarebytes-browser-extension-blocks-malware-scams-ads-and-trackers/

from:https://www.techtalkthai.com/malwarebytes-browser-extension-blocks-malware-scams-and-ads/

G Suite เตรียมออกฟีเจอร์ติดตามกิจกรรมต้องสงสัย

อีกไม่นานผู้ดูแล G Suite จะติดตามกิจกรรมต้องสงสัยในการใช้งานของผู้ใช้งานได้แล้ว อีกทั้งยังสามารถตั้งค่าเพื่อรับการแจ้งเตือนเมื่อพบกิจกรรมสุ่มเสี่ยงอีกด้วย

Credit: Google

ผู้ดูแลระบบสามารถตั้งค่าแจ้งเตือนเมื่อมีการเปลี่ยนแปลงรหัสผ่าน รวมถึงเมื่อผู้ใช้ทำการเปิดปิดการใช้งาน 2-Step Verification หรือเปลี่ยนแปลงข้อมูลการกู้คืนบัญชี เช่น เบอร์โทรศัพท์ คำถามด้านความมั่นคงปลอดภัย อีเมลสำหรับการกู้คืน ซึ่งทาง Google ตั้งใจว่าสิ่งนี้จะช่วยผู้ดูแลตรวจสอบและสังเกตพฤติกรรมที่ถูกแทรกแซงได้ดีขึ้น

นอกจากนี้ผู้ดูแลระบบสามารถออกรายงานแบบใหม่เพื่อดูภาพของความมั่นคงปลอดภัยภายในองค์กรของตน เช่น ติดตามโดเมนว่ามีจำนวนการใช้งาน 2-Step Verification มากแค่ไหน บัญชีไหนมีแนวโน้มถูกแทรกซึมแล้ว โดยผู้ดูแลที่ต้องการเข้าดูรายงานไปได้ที่เมนู Admin console > Reports > Audit > Users Accounts อย่างไรก็ตาม Google วางแผนที่จะปล่อยใช้งานภายใน 2 อาทิตย์ข้างหน้านี้กับทุกเวอร์ชัน อดใจรอกันอีกนิดนะครับ

ที่มา : https://www.securityweek.com/new-g-suite-alerts-provide-visibility-suspicious-user-activity

from:https://www.techtalkthai.com/g-suite-is-going-to-release-anomaly-monitoring-mechanism/

Let’s Encrypt ได้รับการ “Trust” อย่างเป็นทางการบนเบราว์เซอร์และระบบปฏิบัติการเกือบทั้งหมดแล้ว

Let’s Encrypt ผู้ให้บริการ Certificate Authority (CA) แบบไม่แสวงหาผลกำไร ออกแถลงการณ์ล่าสุด ระบุว่า ขณะนี้ Let’s Encrypt ได้รับการ Trust โดยตรงจาก Root Certificate Program ส่วนใหญ่แล้ว ไม่ว่าจะเป็น Microsoft, Google, Apple, Mozilla, Oracle หรือ Blackberry เรียกว่าครอบคลุมเกือบทุกเบราว์เซอร์และระบบปฏิบัติการ

Credit: Let’s Encrypt

ถึงแม้ว่า Let’s Encrypt จะได้รับการ Trust โดยเบราว์เซอร์ส่วนใหญ่อยู่แล้ว แต่การ Trust นั้นเป็นการ Trust ผ่านทาง Intermediate Certificate ที่ถูก Cross-sign โดย IdenTrust เนื่องจาก IdenTrust ถูก Trust โดยตรงกับทางเบราว์เซอร์และระบบปฏิบัติการเกือบทั้งหมด ส่งผลให้ Let’s Encrypt ถูก Trust ด้วยเช่นเดียวกัน

อย่างไรก็ตาม ขณะนี้ Let’s Encrypt ได้รับการ Trust โดยตรงเป็นที่เรียบร้อย นั่นหมายความว่า ถ้ามีเหตุสุดวิสัยอะไรเกิดขึ้นกับ IdenTrust (อย่างในกรณีของ Symantec เมื่อปีที่ผ่านมา) จนทำให้ถูก Untrust ก็จะไม่ส่งผลใดๆ ต่อผู้ใช้ Let’s Encrypt อีกต่อไป

ถึงแม้ว่า Let’s Encrypt จะได้รับการ Trust โดยตรง แต่ก็เฉพาะบนเบราว์เซอร์และระบบปฏิบัติการเวอร์ชันใหม่ๆ เท่านั้น เบราว์เซอร์และระบบปฏิบัติการเวอร์ชันเก่ายังคง Trust ใบรับรองของ Let’s Encrypt ผ่านทางการ Cross-sign โดย IdenTrust อยู่ดี

สำหรับผู้ใช้ Let’s Encrypt ไม่ต้องดำเนินการใดๆ ทั้งสิ้น เนื่องจากกลไกการ Trust โดยตรงนี้เกิดขึ้นหลังบ้าน ซึ่งผู้ใช้จะได้รับผลประโยชน์โดยทันที

ที่มา: https://www.bleepingcomputer.com/news/security/lets-encrypt-is-now-officially-trusted-by-all-major-root-programs/

from:https://www.techtalkthai.com/lets-encrypt-officially-trusted-by-most-root-certificate-programs/

Facebook เปิดให้บริการ TLS 1.3 Library แบบ Open-source

Facebook ผู้ให้บริการแพลตฟอร์มโซเชียลมีเดียชื่อดัง เปิดให้บริการ Fizz ซึ่งเป็น Library ที่ถูกออกแบบมาเพื่อช่วยให้นักพัฒนาสามารถนำโปรโตคอล TLS 1.3 ไปใช้ได้อย่างมั่นคงปลอดภัยและมีประสิทธิภาพสูงในรูปของ Open-source ผู้ที่สนใจสามารถนำไปทดลองใช้ได้ฟรี

ปลายเดือนที่ผ่านมา Google Chrome เริ่มแจ้งเตือนเว็บไซต์ที่ไม่ใช่ HTTPS เป็น ‘Not Secure’ เพื่อผลักดันให้เจ้าของเว็บปรับไปใช้ HTTPS ซึ่งมีความมั่นคงปลอดภัยกว่า โดย TLS 1.3 ถือเป็นโปรโตคอลการเข้ารหัสข้อมูลใหม่ล่าสุดและมีความมั่นคงปลอดภัยสูงสุดสำหรับ Transportation Layer Security (TLS) ซึ่งช่วยปกป้องช่องทางการสื่อสารระหว่าง Server และ Client จากการถูกดักฟังหรือแก้ไขข้อมูล

Fizz ถูกพัฒนาขึ้นโดยภาษา C++14 เป็น TLS Library ที่มีความเสถียรและประสิทธิภาพที่สูง โดยรองรับโหมดการทำ Handshake ที่ใช้งานอยู่เกือบทั้งหมด มีอัลกอริธึมการเข้ารหัสข้อมูลที่ทันสมัย และมีการทำ Performance Optimization เพื่อให้สามารถรับส่งข้อมูลได้อย่างมั่นคงปลอดภัยและรวดเร็วขึ้นถึง 10% ในขณะที่ใช้ CPU และ Memory ลดลง

ปัจจุบันนี้ Facebook ได้นำ Fizz Library มาใช้แทนโปรโตคอลเดิมอย่าง Zero เป็นที่เรียบร้อย โดยใช้งานทั้งบน Mobile App, Proxygen, Load Balancers, Internal Services และ QUIC Library ส่งผลให้ตอนนี้ทราฟฟิกอินเทอร์เน็ตของ Facebook มากกว่า 50% ถูกปกป้องโดย TLS 1.3

ล่าสุด Facebook ได้เปิดให้ Fizz กลายเป็น Open-source Library ที่นักพัฒนาสามารถนำไปใช้ประโยชน์ต่อได้ทันที พร้อมทั้งสนับสนุนให้ผู้ดูแลระบบเว็บไซต์หันมาใช้โปรโตคอล TLS 1.3 ล่าสุดที่มีความมั่นคงปลอดภัยสูงแทน

ผู้ที่สนใจสามารถดาวน์โหลด Fizz มาลองใช้งานได้ผ่านทาง GitHub

ที่มา: https://thehackernews.com/2018/08/fizz-tls-ssl-library.html

from:https://www.techtalkthai.com/facebook-open-sources-fizz-tls-1-3-library/

ความมั่นคงปลอดภัยของ API

ปัจจุบันวิธีการพัฒนาแอปพลิเคชันเปลี่ยนโฉมไปมากโดยการใช้ประโยชน์จาก API เพื่อตอบโจทย์ความรวดเร็วและแยกการบริหารจัดการเป็นส่วนๆ ซึ่งกลายมาเป็นดาบสองคมที่แฮ็กเกอร์ใช้ความซับซ้อนที่เพิ่มขึ้นตรงนี้เข้ามา เราจึงได้พบบทความที่จะนำเสนอถึงคำถามที่ว่าจะป้องกันความมั่นคงปลอดภัยของ API อย่างไรไม่ให้รบกวนประโยชน์ของการใช้งานสรุปมาให้อ่านกัน

Credit: ShutterStock.com

ข้อดีของ API สำหรับเหล่านักพัฒนาก็คือความสะดวกรวดเร็วในการทำงานให้สามารถผนวกบริการจาก Third-party เข้ามาใช้งานได้โดยไม่ต้องเขียนโปรแกรมเองทุกอย่างตั้งแต่แรกเริ่มเหมือนในสมัยอดีต มีผลสำรวจจาก One Poll ชี้ว่าโดยเฉลี่ยแล้วธุรกิจหนึ่งจะมีการบริหารจัดการ API ประมาณ 361 ตัวและกว่า 69% เปิดบริการสู่สาธารณะและพาร์ทเนอร์ให้สามารถเข้ามาเรียกใช้งานได้ อย่างไรก็ตามในหมู่นักพัฒนาสามารถค้นหา API จากไลบรารี่มาต่อยอดได้ง่ายๆ ตัวอย่างเช่น API Hound ที่เป็นแหล่งรวม API จากทั่วโลก

เหรียญมีสองด้านเสมอแฮ็กเกอร์เองก็จ้องเล่นงานเหยื่อจากเทคโนโลยีใหม่อยู่เสมอเช่นกัน โดยการโจมตีที่มักเกิดขึ้นกับ API มีดังนี้

  • API Parameter Tempering แฮ็กเกอร์ทำการ Reverse Engineering ตัว API เพื่อให้เข้าถึงข้อมูลสำคัญ
  • Session Cookie Tempering แฮ็กเกอร์พยายามหาวิธีการใช้งาน Cookie เพื่อลัดผ่านกลไกด้านความมั่นคงปลอดภัยและส่งข้อมูลผิดๆ ไปหาเซิร์ฟเวอร์ของแอปพลิเคชัน
  • Man-in-the-Middle Attack ดักจับข้อมูลการเชื่อมต่อของตัว API Client และเซิร์ฟเวอร์ที่ไม่ได้เข้ารหัสระหว่างกันเพื่อให้ได้มาซึ่งข้อมูล
  • Content Manipulation แฮ็กเกอร์พยายาม inject เนื้อหาที่มีอันตราย (เช่น Poisoning JSON Wen Token เป็นต้น) ให้แพร่กระจายออกไปและคอยทำงานอยู่เบื้องหลัง
  • DDoS การเขียนโค้ดที่ไม่ดีอาจนำไปสู่การใช้งานทรัพยากรมากโดยอาจจะเพราะส่งพารามิเตอร์ที่ผิดพลาด

ดังนั้นในฝั่งของการป้องกันเองจึงมีเรื่องที่ต้องคิดดังนี้

  • คิดเรื่องความมั่นคงปลอดภัยในขั้นตอนการพัฒนาด้วยเสมอ เช่น หากเปิดใช้แบบสาธารณะแล้วจะมีผลอย่างไร มีวิธีการไหนสามารถใช้ API ในทางที่อันตรายได้บ้าง หลักๆเลยที่ทางผู้เขียนเน้นย้ำคือเรื่องของการทำพิสูจน์ตัวตนและจำกัดสิทธิ์ของตัวตนนั้นว่าสามารถทำอะไรได้มากน้อยแค่ไหน เช่น ผ่าน Token ด้วย OAuth และเมื่อได้มาแล้วก็ส่งต่อไปใช้ในการพิจรณาตรวจสอบก่อนทำสิ่งต่างๆ
  • ปฏิบัติตามแนวทางที่เป็น Best Practice และเป็นมาตรฐาน ลองเข้าไปตามมาตรฐานอย่าง เช่น OWASP เป็นต้น
  • คอยติดตาม API Gateway เพราะสามารถช่วยให้มองเห็นภาพ นำไปวิเคราะห์หรือควบคุมปริมาณทราฟฟิคเพื่อลดความเสี่ยงของการโจมตีแบบ DDoS ได้ อีกทั้งยังสามารถผลักดันใช้ Policy ด้านความมั่นคงปลอดภัยที่จุดนี้ได้ด้วย สุดท้ายต้องคอยรับฟังคำแนะนำจาก DevSecOps ด้วยเพื่อลดความเสี่ยงที่เกี่ยวกับ API เหล่านี้

ที่มา : https://www.securityweek.com/next-big-cyber-attack-vector-apis

from:https://www.techtalkthai.com/when-api-becomes-new-threat-vector/